Escanear gratis
MEDIUMCVE-2026-8280CVSS 6.5

CVE-2026-8280: Memory Exhaustion DoS in GitLab

Plataforma

gitlab

Componente

gitlab

Corregido en

18.11.3

Ver en NVD
Guardar

La vulnerabilidad CVE-2026-8280 afecta a GitLab CE/EE, permitiendo a un usuario autenticado causar una denegación de servicio (DoS) a través de un consumo excesivo de memoria. Esta falla se debe a una validación insuficiente de la entrada. Afecta a versiones desde 8.3 hasta 18.11.3. La solución es actualizar a la versión 18.11.3.

Impacto y Escenarios de Ataque

Un atacante que explote esta vulnerabilidad puede enviar solicitudes especialmente diseñadas que provoquen un consumo excesivo de memoria en el servidor de GitLab, lo que puede llevar a una denegación de servicio para otros usuarios. El impacto es mayor en entornos con recursos limitados o alta carga de trabajo. La necesidad de autenticación limita el alcance, pero la posibilidad de abuso es significativa, especialmente si un usuario malintencionado tiene acceso a la instancia de GitLab.

Contexto de Explotación

La vulnerabilidad CVE-2026-8280 fue publicada el 14 de mayo de 2026. No se han reportado activamente campañas de explotación públicas a la fecha. La probabilidad de explotación se considera baja a moderada, dada la necesidad de autenticación y la complejidad de la explotación.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta
Informes1 informe de amenaza

CISA SSVC

Explotaciónnone
Automatizableno
Impacto Técnicopartial

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H6.5MEDIUMAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredLowNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityNoneRiesgo de exposición de datos sensiblesIntegrityNoneRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Ninguno — sin impacto en confidencialidad.
Integrity
Ninguno — sin impacto en integridad.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentegitlab
ProveedorGitLab
Versión mínima8.3
Versión máxima18.11.3
Corregido en18.11.3

Clasificación de Debilidad (CWE)

CWE-770

Cronología

  1. Reservado
  2. Publicada

Mitigación y Workarounds

La mitigación principal es actualizar GitLab CE/EE a la versión 18.11.3 o superior. Mientras tanto, se recomienda implementar límites de recursos en el servidor de GitLab para restringir la cantidad de memoria que puede consumir un solo proceso. Monitoree el uso de memoria del servidor GitLab y configure alertas para detectar picos inusuales.

Cómo corregirlotraduciendo…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta actualización aborda la falta de validación de entrada que permitía un consumo excesivo de memoria.

Preguntas frecuentes

What is CVE-2026-8280 — Memory Exhaustion DoS in GitLab?

CVE-2026-8280 es una vulnerabilidad de Denegación de Servicio (DoS) en GitLab CE/EE que permite a un usuario autenticado causar una interrupción del servicio a través de un consumo excesivo de memoria. La vulnerabilidad tiene una severidad de MEDIUM (CVSS 6.5).

Am I affected by CVE-2026-8280 in GitLab?

Si está utilizando GitLab CE/EE en las versiones 8.3–18.11.3, es posible que esté afectado. Verifique su versión y actualice a la versión 18.11.3 o superior.

How do I fix CVE-2026-8280 in GitLab?

La solución es actualizar GitLab CE/EE a la versión 18.11.3 o superior. Implemente límites de recursos en el servidor como mitigación temporal.

Is CVE-2026-8280 being actively exploited?

A la fecha, no se han reportado activamente campañas de explotación públicas para CVE-2026-8280, pero la probabilidad de explotación se considera baja a moderada.

Where can I find the official GitLab advisory for CVE-2026-8280?

Puede encontrar la información oficial sobre CVE-2026-8280 en el sitio web de GitLab: [https://gitlab.com/security/advisories/](https://gitlab.com/security/advisories/)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...