Escanear gratis
MEDIUMCVE-2025-12669CVSS 5.4

CVE-2025-12669: XSS en GitLab CE/EE 15.11–18.11.3

Plataforma

gitlab

Componente

gitlab

Corregido en

18.11.3

Ver en NVD
Guardar

La vulnerabilidad CVE-2025-12669 afecta a GitLab CE/EE en versiones desde 15.11 hasta 18.11.3. Esta vulnerabilidad de Cross-Site Scripting (XSS) permite a un usuario autenticado inyectar código HTML y JavaScript malicioso en las notificaciones por correo electrónico enviadas a otros usuarios. La inyección exitosa podría resultar en el robo de credenciales o la manipulación de la interfaz de usuario. La vulnerabilidad ha sido resuelta en la versión 18.11.3.

Impacto y Escenarios de Ataque

Un atacante podría explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario de GitLab al recibir una notificación por correo electrónico. Esto podría permitir al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos o modificar el contenido de la página de GitLab que el usuario ve. El impacto se amplifica si el usuario afectado tiene privilegios administrativos, ya que el atacante podría potencialmente comprometer toda la instancia de GitLab. La inyección de HTML también podría usarse para realizar ataques de phishing dirigidos a usuarios específicos.

Contexto de Explotación

La información sobre la explotación activa de CVE-2025-12669 es limitada al momento de la publicación. No se ha reportado en KEV ni se ha asignado un puntaje EPSS. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. Consulte el aviso oficial de GitLab para obtener más detalles.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N5.4MEDIUMAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredLowNivel de autenticación requeridoUser InteractionRequiredSi la víctima debe realizar una acciónScopeChangedImpacto más allá del componente afectadoConfidentialityLowRiesgo de exposición de datos sensiblesIntegrityLowRiesgo de modificación no autorizada de datosAvailabilityNoneRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction
Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
Scope
Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
Confidentiality
Bajo — acceso parcial o indirecto a algunos datos.
Integrity
Bajo — el atacante puede modificar algunos datos con alcance limitado.
Availability
Ninguno — sin impacto en disponibilidad.

Software Afectado

Componentegitlab
ProveedorGitLab
Versión mínima15.11.0
Versión máxima18.11.3
Corregido en18.11.3

Clasificación de Debilidad (CWE)

CWE-94

Cronología

  1. Reservado
  2. Publicada

Mitigación y Workarounds

La mitigación principal para CVE-2025-12669 es actualizar GitLab a la versión 18.11.3 o posterior. Si la actualización inmediata no es posible, considere implementar reglas de firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan código HTML o JavaScript sospechoso en los campos de correo electrónico. Revise las configuraciones de seguridad de correo electrónico de GitLab para asegurarse de que la sanitización de entrada esté habilitada y configurada correctamente. Después de la actualización, confirme que las notificaciones por correo electrónico no contienen código HTML o JavaScript inesperado.

Cómo corregirlotraduciendo…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad de inyección de código en las notificaciones por correo electrónico.  Esta actualización corrige la falta de sanitización adecuada de la entrada del usuario, previniendo la inyección de HTML y JavaScript.

Preguntas frecuentes

What is CVE-2025-12669 — XSS en GitLab CE/EE?

CVE-2025-12669 es una vulnerabilidad de Cross-Site Scripting (XSS) en GitLab CE/EE que permite a un usuario autenticado inyectar código malicioso en notificaciones por correo electrónico.

Am I affected by CVE-2025-12669 in GitLab CE/EE?

Sí, si está utilizando GitLab CE/EE en versiones entre 15.11.0 y 18.11.3, es vulnerable a esta vulnerabilidad.

How do I fix CVE-2025-12669 in GitLab CE/EE?

Actualice GitLab a la versión 18.11.3 o posterior para corregir esta vulnerabilidad. Consulte la documentación oficial de GitLab para obtener instrucciones.

Is CVE-2025-12669 being actively exploited?

No se han reportado explotaciones activas al momento de la publicación, pero se recomienda monitorear las fuentes de inteligencia de amenazas.

Where can I find the official GitLab advisory for CVE-2025-12669?

Puede encontrar el aviso oficial de GitLab en su sitio web de seguridad: [https://gitlab.com/security/advisories/](https://gitlab.com/security/advisories/)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...