GitLab parchea múltiples fallas de autorización, DoS y AI de Duo en la edición Community y Enterprise

GitLab ha lanzado actualizaciones de seguridad de emergencia para Community Edition (CE) y Enterprise Edition (EE), abordando múltiples fallas de autorización, denegación de servicio y problemas relacionados con Duo AI en versiones recientes de la plataforma. El 27 de mayo de 2026, GitLab publicó las versiones 19.0.1, 18.11.4 y 18.10.7 como parches de seguridad para instancias autogestionadas.

Estas compilaciones corrigen varias vulnerabilidades en los ejecutores de flujos de trabajo de Duo AI, el componente Wiki, las API GraphQL de WorkItem, las operaciones, las canalizaciones y los endpoints de autenticación, y GitLab insta a todos los administradores a actualizar sin demora. GitLab corrige fallas en Duo AI y problemas de denegación de servicio. El problema más grave es una falla de control de acceso de alto impacto en los ejecutores de flujos de trabajo de Duo AI, rastreada como CVE-2026-4868, que afecta a GitLab EE desde 18.8 hasta 18.10.7, 18.11.4 y 19.0.1, pero sin incluir estas versiones. Esto podría permitir movimiento lateral o abuso de privilegios dentro de los flujos de trabajo asistidos por IA si no se aplica el parche. Paralelamente, CVE-2026-6713 aborda verificaciones de autorización incorrectas en la API GraphQL de WorkItem, que podrían permitir a usuarios no autenticados enumerar proyectos privados bajo ciertas condiciones, con una calificación de 5.3 en la escala CVSS.

CVE-2026-5296 corrige la autorización incorrecta en la API de Duo Workflows, que podría permitir que un usuario con rol de desarrollador omita las restricciones de flujo cuando los flujos fundamentales están habilitados a nivel de grupo. CVE-2026-2601 corrige la falta de comprobaciones de autorización que podrían exponer datos de implementación confidenciales a usuarios con nivel de desarrollador.

Consultar publicación original ↗