Escanear gratis
HIGHCVE-2025-14869CVSS 7.5

CVE-2025-14869: DoS en GitLab CE/EE 18.5–18.11.3

Plataforma

gitlab

Componente

gitlab

Corregido en

18.11.3

Ver en NVD
Guardar

La vulnerabilidad CVE-2025-14869 afecta a GitLab CE/EE en versiones desde 18.5 hasta 18.11.3. Esta vulnerabilidad de Denegación de Servicio (DoS) permite a un usuario no autenticado causar una interrupción del servicio enviando payloads especialmente diseñados a ciertos endpoints de la API. La explotación exitosa podría resultar en la indisponibilidad de la instancia de GitLab. La vulnerabilidad ha sido resuelta en la versión 18.11.3.

Impacto y Escenarios de Ataque

Un atacante podría explotar esta vulnerabilidad enviando un gran volumen de solicitudes maliciosas a los endpoints de la API de GitLab, consumiendo recursos del servidor y provocando una denegación de servicio para usuarios legítimos. Esto podría afectar la capacidad de los usuarios para acceder a los repositorios de código, crear solicitudes de fusión o realizar otras tareas esenciales. El impacto podría ser significativo, especialmente para organizaciones que dependen de GitLab para sus flujos de trabajo de desarrollo.

Contexto de Explotación

La información sobre la explotación activa de CVE-2025-14869 es limitada al momento de la publicación. No se ha reportado en KEV ni se ha asignado un puntaje EPSS. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. Consulte el aviso oficial de GitLab para obtener más detalles.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H7.5HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredNoneNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityNoneRiesgo de exposición de datos sensiblesIntegrityNoneRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Ninguno — sin autenticación. No se necesitan credenciales para explotar.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Ninguno — sin impacto en confidencialidad.
Integrity
Ninguno — sin impacto en integridad.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentegitlab
ProveedorGitLab
Versión mínima18.5.0
Versión máxima18.11.3
Corregido en18.11.3

Clasificación de Debilidad (CWE)

CWE-1284

Cronología

  1. Reservado
  2. Publicada

Mitigación y Workarounds

La mitigación principal para CVE-2025-14869 es actualizar GitLab a la versión 18.11.3 o posterior. Como medida temporal, se pueden implementar reglas de firewall de aplicaciones web (WAF) para bloquear solicitudes sospechosas a los endpoints de la API. También se recomienda limitar la tasa de solicitudes a la API para evitar el consumo excesivo de recursos. Después de la actualización, monitoree el rendimiento del servidor para detectar cualquier signo de denegación de servicio.

Cómo corregirlotraduciendo…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad. Esta actualización corrige una falla de validación de cantidad en ciertos puntos finales de la API que podría permitir a un usuario no autenticado causar una denegación de servicio.

Preguntas frecuentes

What is CVE-2025-14869 — DoS en GitLab CE/EE?

CVE-2025-14869 es una vulnerabilidad de Denegación de Servicio (DoS) en GitLab CE/EE que permite a un atacante causar una interrupción del servicio.

Am I affected by CVE-2025-14869 in GitLab CE/EE?

Sí, si está utilizando GitLab CE/EE en versiones entre 18.5.0 y 18.11.3, es vulnerable a esta vulnerabilidad.

How do I fix CVE-2025-14869 in GitLab CE/EE?

Actualice GitLab a la versión 18.11.3 o posterior para corregir esta vulnerabilidad. Consulte la documentación oficial de GitLab para obtener instrucciones.

Is CVE-2025-14869 being actively exploited?

No se han reportado explotaciones activas al momento de la publicación, pero se recomienda monitorear las fuentes de inteligencia de amenazas.

Where can I find the official GitLab advisory for CVE-2025-14869?

Puede encontrar el aviso oficial de GitLab en su sitio web de seguridad: [https://gitlab.com/security/advisories/](https://gitlab.com/security/advisories/)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...