Escanear gratis
MEDIUMCVE-2026-1184CVSS 6.5

CVE-2026-1184: Deser Sec en GitLab EE 11.9–18.11.3

Plataforma

gitlab

Componente

gitlab

Corregido en

18.11.3

Ver en NVD
Guardar

La vulnerabilidad CVE-2026-1184 afecta a GitLab EE en versiones desde 11.9 hasta 18.11.3. Esta vulnerabilidad de Deserialización Insegura (Insecure Deserialization) permite a un usuario no autenticado causar una denegación de servicio (DoS) cargando un archivo especialmente diseñado debido a la validación inadecuada. La explotación exitosa podría resultar en la indisponibilidad de la instancia de GitLab. La vulnerabilidad ha sido resuelta en la versión 18.11.3.

Impacto y Escenarios de Ataque

Un atacante podría explotar esta vulnerabilidad cargando un archivo malicioso que contenga código serializado. El proceso de deserialización, al no validar adecuadamente el contenido del archivo, podría llevar a la ejecución de código arbitrario o a la sobrecarga del servidor, resultando en una denegación de servicio. El impacto se agrava si el atacante logra comprometer la instancia de GitLab, lo que podría permitir el acceso a datos confidenciales o la modificación del sistema.

Contexto de Explotación

La información sobre la explotación activa de CVE-2026-1184 es limitada al momento de la publicación. No se ha reportado en KEV ni se ha asignado un puntaje EPSS. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad. Consulte el aviso oficial de GitLab para obtener más detalles.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

CISA SSVC

Explotaciónnone
Automatizableno
Impacto Técnicopartial

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H6.5MEDIUMAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredLowNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityNoneRiesgo de exposición de datos sensiblesIntegrityNoneRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Ninguno — sin impacto en confidencialidad.
Integrity
Ninguno — sin impacto en integridad.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentegitlab
ProveedorGitLab
Versión mínima11.9.0
Versión máxima18.11.3
Corregido en18.11.3

Clasificación de Debilidad (CWE)

CWE-502

Cronología

  1. Reservado
  2. Publicada

Mitigación y Workarounds

La mitigación principal para CVE-2026-1184 es actualizar GitLab a la versión 18.11.3 o posterior. Como medida temporal, se recomienda implementar reglas de firewall de aplicaciones web (WAF) para bloquear la carga de archivos con extensiones sospechosas o contenido malicioso. Además, es crucial fortalecer la validación de entrada de archivos en GitLab para prevenir futuros ataques de deserialización insegura. Después de la actualización, monitoree el sistema en busca de actividad anómala.

Cómo corregirlotraduciendo…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad de deserialización de datos no confiables. Esta actualización corrige la validación incorrecta de archivos cargados, previniendo posibles ataques de denegación de servicio.

Preguntas frecuentes

What is CVE-2026-1184 — Deser Sec en GitLab EE?

CVE-2026-1184 es una vulnerabilidad de Deserialización Insegura en GitLab EE que permite a un atacante causar una denegación de servicio a través de la carga de archivos.

Am I affected by CVE-2026-1184 in GitLab EE?

Sí, si está utilizando GitLab EE en versiones entre 11.9.0 y 18.11.3, es vulnerable a esta vulnerabilidad.

How do I fix CVE-2026-1184 in GitLab EE?

Actualice GitLab a la versión 18.11.3 o posterior para corregir esta vulnerabilidad. Consulte la documentación oficial de GitLab para obtener instrucciones.

Is CVE-2026-1184 being actively exploited?

No se han reportado explotaciones activas al momento de la publicación, pero se recomienda monitorear las fuentes de inteligencia de amenazas.

Where can I find the official GitLab advisory for CVE-2026-1184?

Puede encontrar el aviso oficial de GitLab en su sitio web de seguridad: [https://gitlab.com/security/advisories/](https://gitlab.com/security/advisories/)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...