CVE-2026-6073: XSS en GitLab 18.7 a 18.11.3
Plataforma
gitlab
Componente
gitlab
Corregido en
18.11.3
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en GitLab EE, que permite a un usuario autenticado ejecutar código JavaScript arbitrario en el navegador de otros usuarios. Esta falla se debe a una sanitización inadecuada de la entrada, lo que facilita la inyección de scripts maliciosos. La vulnerabilidad afecta a las versiones de GitLab EE desde 18.7 hasta 18.11.3, y ha sido resuelta en la versión 18.11.3.
Impacto y Escenarios de Ataque
Un atacante podría explotar esta vulnerabilidad para ejecutar código JavaScript malicioso en el contexto del navegador de otro usuario de GitLab. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el control total de la cuenta del usuario afectado. El impacto es significativo, ya que permite a un atacante comprometer la confidencialidad, integridad y disponibilidad de los datos y sistemas de GitLab. La ejecución de JavaScript arbitrario abre la puerta a una amplia gama de ataques, incluyendo phishing dirigido y la exfiltración de información sensible.
Contexto de Explotación
La vulnerabilidad CVE-2026-6073 ha sido publicada el 14 de mayo de 2026. La probabilidad de explotación se considera alta debido a la naturaleza de XSS y la disponibilidad potencial de pruebas de concepto. No se han reportado campañas de explotación activas en el momento de la publicación, pero la vulnerabilidad podría ser explotada en el futuro. Se recomienda monitorear los canales de seguridad para obtener información actualizada sobre posibles exploits.
Inteligencia de Amenazas
Estado del Exploit
CISA SSVC
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
- Scope
- Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
Mitigación y Workarounds
La mitigación principal para esta vulnerabilidad es actualizar GitLab EE a la versión 18.11.3 o posterior. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la aplicación de políticas de seguridad de contenido (CSP) para restringir la ejecución de scripts desde fuentes no confiables. Además, se debe revisar y fortalecer la sanitización de la entrada en todas las aplicaciones web que utilicen GitLab. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que los scripts inyectados ya no se ejecutan.
Cómo corregirlotraduciendo…
Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS). Esta actualización corrige la falta de sanitización adecuada de la entrada del usuario, previniendo la ejecución de código JavaScript malicioso en el navegador de otros usuarios. Consulte las notas de la versión para obtener instrucciones detalladas de actualización.
Preguntas frecuentes
What is CVE-2026-6073 — XSS en GitLab 18.7 a 18.11.3?
CVE-2026-6073 es una vulnerabilidad de Cross-Site Scripting (XSS) en GitLab EE que permite a un usuario autenticado ejecutar código JavaScript malicioso en el navegador de otros usuarios debido a una sanitización incorrecta de la entrada.
Am I affected by CVE-2026-6073 en GitLab 18.7 a 18.11.3?
Si está utilizando GitLab EE en las versiones 18.7.0 hasta 18.11.3, es vulnerable a esta vulnerabilidad. Verifique su versión actual y actualice lo antes posible.
How do I fix CVE-2026-6073 en GitLab 18.7 a 18.11.3?
La solución es actualizar GitLab EE a la versión 18.11.3 o posterior. Si la actualización no es inmediata, implemente medidas de seguridad adicionales como CSP.
Is CVE-2026-6073 being actively exploited?
No se han reportado campañas de explotación activas en el momento de la publicación, pero la vulnerabilidad podría ser explotada en el futuro. Se recomienda monitorear los canales de seguridad.
Where can I find the official GitLab advisory for CVE-2026-6073?
Consulte el sitio web oficial de GitLab para obtener la información más reciente y la guía de solución: [https://about.gitlab.com/security/advisories/](https://about.gitlab.com/security/advisories/)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...