GitLab ha lanzado actualizaciones de seguridad críticas para sus versiones Community Edition (CE) y Enterprise Edition (EE) que abordan una vulnerabilidad de inyección de HTML de alta gravedad. Esta vulnerabilidad, identificada como CVE-2024-8312, con una puntuación CVSSv3 de 8.7 según el fabricante, afecta a las versiones de GitLab CE/EE desde la 15.10 y permite a los atacantes ejecutar ataques XSS al inyectar HTML en el campo de búsqueda global dentro de una vista diff, lo que representa un riesgo elevado para la confidencialidad e integridad de los sistemas afectados.
GitLab insta a los usuarios con instalaciones autogestionadas a actualizar a las versiones parcheadas 17.5.1, 17.4.3 y 17.3.6. Además, las actualizaciones también solucionan una vulnerabilidad de denegación de servicio (DoS) de gravedad media, rastreada como CVE-2024-6826, con un CVSSv3 de 6.5 según GitLab, explotable a través de la importación de archivos XML manipulados y que afecta a las versiones desde la 11.2. Asimismo, se han realizado mejoras en herramientas adicionales como los gráficos de timón y la pila de análisis.