Escanear gratis
HIGHCVE-2025-14870CVSS 7.5

CVE-2025-14870: DoS en GitLab CE/EE 18.5–18.11.3

Plataforma

gitlab

Componente

gitlab

Corregido en

18.11.3

Ver en NVD
Guardar

La vulnerabilidad CVE-2025-14870 afecta a GitLab CE/EE en versiones desde 18.5 hasta 18.11.3. Esta vulnerabilidad de Denegación de Servicio (DoS) permite a un usuario no autenticado causar una interrupción del servicio enviando payloads JSON especialmente diseñados debido a la validación de entrada insuficiente. La explotación exitosa podría resultar en la indisponibilidad de la instancia de GitLab. La vulnerabilidad ha sido resuelta en la versión 18.11.3.

Impacto y Escenarios de Ataque

Un atacante podría explotar esta vulnerabilidad enviando payloads JSON maliciosos a los endpoints de la API de GitLab, lo que podría provocar un consumo excesivo de recursos del servidor y una denegación de servicio para usuarios legítimos. La falta de validación adecuada de la entrada JSON permite a un atacante crear payloads que explotan la lógica interna de GitLab, lo que lleva a una sobrecarga del sistema. El impacto puede ser significativo, especialmente en entornos de producción con alta carga de usuarios.

Contexto de Explotación

La información sobre la explotación activa de CVE-2025-14870 es limitada al momento de la publicación. No se ha reportado en KEV ni se ha asignado un puntaje EPSS. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. Consulte el aviso oficial de GitLab para obtener más detalles.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H7.5HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredNoneNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityNoneRiesgo de exposición de datos sensiblesIntegrityNoneRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Ninguno — sin autenticación. No se necesitan credenciales para explotar.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Ninguno — sin impacto en confidencialidad.
Integrity
Ninguno — sin impacto en integridad.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentegitlab
ProveedorGitLab
Versión mínima18.5.0
Versión máxima18.11.3
Corregido en18.11.3

Clasificación de Debilidad (CWE)

CWE-770

Cronología

  1. Reservado
  2. Publicada

Mitigación y Workarounds

La mitigación principal para CVE-2025-14870 es actualizar GitLab a la versión 18.11.3 o posterior. Como medida temporal, se pueden implementar reglas de firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan payloads JSON sospechosos. Además, es crucial revisar y fortalecer la validación de entrada JSON en la API de GitLab para prevenir futuros ataques de DoS. Después de la actualización, monitoree el rendimiento del servidor para detectar cualquier signo de denegación de servicio.

Cómo corregirlotraduciendo…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad. Esta actualización aborda la falta de validación de entrada que permitía a usuarios no autenticados causar una denegación de servicio a través de payloads JSON maliciosos.

Preguntas frecuentes

What is CVE-2025-14870 — DoS en GitLab CE/EE?

CVE-2025-14870 es una vulnerabilidad de Denegación de Servicio (DoS) en GitLab CE/EE que permite a un atacante causar una interrupción del servicio a través de payloads JSON.

Am I affected by CVE-2025-14870 in GitLab CE/EE?

Sí, si está utilizando GitLab CE/EE en versiones entre 18.5.0 y 18.11.3, es vulnerable a esta vulnerabilidad.

How do I fix CVE-2025-14870 in GitLab CE/EE?

Actualice GitLab a la versión 18.11.3 o posterior para corregir esta vulnerabilidad. Consulte la documentación oficial de GitLab para obtener instrucciones.

Is CVE-2025-14870 being actively exploited?

No se han reportado explotaciones activas al momento de la publicación, pero se recomienda monitorear las fuentes de inteligencia de amenazas.

Where can I find the official GitLab advisory for CVE-2025-14870?

Puede encontrar el aviso oficial de GitLab en su sitio web de seguridad: [https://gitlab.com/security/advisories/](https://gitlab.com/security/advisories/)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...