Escanear gratis
HIGHCVE-2026-7377CVSS 8.7

CVE-2026-7377: XSS en GitLab 18.7 a 18.11.3

Plataforma

gitlab

Componente

gitlab

Corregido en

18.11.3

Ver en NVD
Guardar

Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en GitLab EE que afecta a versiones desde 18.7 hasta 18.11.3. Esta falla permite a un usuario autenticado ejecutar código JavaScript arbitrario en el contexto del navegador de otros usuarios, específicamente dentro de los dashboards analíticos personalizables. La vulnerabilidad ha sido corregida en la versión 18.11.3 y se recomienda actualizar para evitar posibles ataques.

Impacto y Escenarios de Ataque

La explotación exitosa de esta vulnerabilidad XSS podría permitir a un atacante robar cookies de sesión de otros usuarios, redirigirlos a sitios maliciosos o incluso realizar acciones en su nombre dentro de GitLab. El impacto se amplifica si el atacante puede comprometer cuentas con privilegios administrativos, lo que podría resultar en el acceso no autorizado a datos confidenciales y la manipulación de la configuración de GitLab. Este tipo de ataque es similar a otros XSS que han afectado a plataformas web, donde el atacante se aprovecha de la falta de sanitización adecuada de las entradas del usuario.

Contexto de Explotación

La vulnerabilidad fue publicada el 14 de mayo de 2026. No se ha reportado su explotación activa en campañas conocidas, pero la naturaleza de XSS la convierte en un objetivo atractivo para actores maliciosos. La probabilidad de explotación se considera alta debido a la facilidad relativa de explotar vulnerabilidades XSS y la amplia base de usuarios de GitLab. Se recomienda monitorear activamente los sistemas GitLab para detectar cualquier actividad sospechosa.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta
Informes1 informe de amenaza

CISA SSVC

Explotaciónnone
Automatizableno
Impacto Técnicototal

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N8.7HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredLowNivel de autenticación requeridoUser InteractionRequiredSi la víctima debe realizar una acciónScopeChangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityNoneRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction
Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
Scope
Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Ninguno — sin impacto en disponibilidad.

Software Afectado

Componentegitlab
ProveedorGitLab
Versión mínima18.7.0
Versión máxima18.11.3
Corregido en18.11.3

Clasificación de Debilidad (CWE)

CWE-79

Cronología

  1. Reservado
  2. Publicada

Mitigación y Workarounds

La mitigación principal es actualizar GitLab EE a la versión 18.11.3 o superior. Si la actualización inmediata no es posible, se recomienda revisar y restringir el acceso a los dashboards analíticos personalizables. Implementar políticas de seguridad de contenido (CSP) puede ayudar a mitigar el riesgo al limitar las fuentes de JavaScript que el navegador puede ejecutar. Además, monitorear los logs de GitLab en busca de patrones de actividad sospechosa, como solicitudes con payloads de JavaScript inusuales, puede ayudar a detectar intentos de explotación.

Cómo corregirlotraduciendo…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior. Esta actualización corrige una vulnerabilidad de Cross-Site Scripting (XSS) en los paneles analíticos personalizables, evitando la ejecución de código JavaScript malicioso en el navegador de otros usuarios.

Preguntas frecuentes

What is CVE-2026-7377 — XSS en GitLab 18.7 a 18.11.3?

CVE-2026-7377 es una vulnerabilidad de Cross-Site Scripting (XSS) en GitLab EE que permite a usuarios autenticados ejecutar código JavaScript arbitrario en dashboards analíticos. Afecta a versiones 18.7.0 hasta 18.11.3.

Am I affected by CVE-2026-7377 en GitLab 18.7 a 18.11.3?

Si está utilizando GitLab EE en las versiones 18.7.0 a 18.11.3 y permite la personalización de dashboards analíticos, es probable que esté afectado por esta vulnerabilidad.

How do I fix CVE-2026-7377 en GitLab 18.7 a 18.11.3?

La solución es actualizar GitLab EE a la versión 18.11.3 o superior. Mientras tanto, considere restringir el acceso a los dashboards analíticos y aplicar políticas de seguridad de contenido (CSP).

Is CVE-2026-7377 being actively exploited?

Aunque no se han reportado campañas activas conocidas, la naturaleza de XSS hace que sea un objetivo atractivo, y se recomienda monitorear los sistemas GitLab.

Where can I find the official GitLab advisory for CVE-2026-7377?

Consulte el sitio web de GitLab para obtener la información oficial y las notas de la versión: [https://about.gitlab.com/security/advisories/](https://about.gitlab.com/security/advisories/)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...