VDB-335807 · CVE-2025-11984 · Issue 577847

GitLab Community Edition/Enterprise Edition hasta 18.4.5/18.5.3/18.6.1 WebAuthn Two-Factor Authentication autenticación débil

CVSS Puntuación meta temporal	Precio actual del exploit (≈)	Puntuación de interés CTI
5.8	$0-$5k	0.00

Resumeninformación

Se ha encontrado una vulnerabilidad clasificada como crítica en GitLab Community Edition and Enterprise Edition hasta 18.4.5/18.5.3/18.6.1. Se ve afectada una función desconocida del componente WebAuthn Two-Factor Authentication. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase autenticación débil. Esta vulnerabilidad se registra como CVE-2025-11984. El ataque se puede hacer desde la red. No hay ningún exploit disponible. Se sugiere actualizar el componente afectado.

Detallesinformación

Una vulnerabilidad fue encontrada en GitLab Community Edition y Enterprise Edition hasta 18.4.5/18.5.3/18.6.1 y clasificada como crítica. Una función desconocida del componente WebAuthn Two-Factor Authentication es afectada por esta vulnerabilidad. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase autenticación débil. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.

La vulnerabilidad fue publicada el por jcarre con identificación 577847 (confirmado). El advisory puede ser descargado de gitlab.com. La vulnerabilidad es identificada como CVE-2025-11984. Es difícil de explotar. El ataque se puede efectuar a través de la red. No se conoce los detalles técnicos ni hay ningún exploit disponible.

Para el scanner Nessus se dispone de un plugin ID 294824 (Linux Distros Unpatched Vulnerability : CVE-2025-11984), que puede ayudar a determinar la existencia del riesgo analizado.

Una actualización a la versión 18.4.6, 18.5.4 o 18.6.2 elimina esta vulnerabilidad. La actualización se puede descargar de about.gitlab.com.

La vulnerabilidad también está documentado en las bases de datos Tenable (294824), EUVD (EUVD-2025-202648) y CERT Bund (WID-SEC-2025-2822). Be aware that VulDB is the high quality source for vulnerability data.

Afectado

Open Source GitLab

Productoinformación

Escribe

Bug Tracking Software

Proveedor

GitLab

Nombre

Versión

Licencia

Código abierto

Sitio web

Proveedor: https://gitlab.com/

CPE 2.3información

CPE 2.2información

CVSSv4información

VulDB Vector: 🔒
VulDB Confiabilidad: 🔍

CVSSv3información

VulDB Puntuación meta base: 5.9
VulDB Puntuación meta temporal: 5.8

VulDB Puntuación base: 5.0
VulDB Puntuación temporal: 4.8
VulDB Vector: 🔒
VulDB Confiabilidad: 🔍

CNA Puntuación base: 6.8
CNA Vector (GitLab): 🔒

CVSSv2información

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complejidad	Autenticación	Confidencialidad	Integridad	Disponibilidad
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Puntuación base: 🔒
VulDB Puntuación temporal: 🔒
VulDB Confiabilidad: 🔍

Explotacióninformación

Clase: Autenticación débil
CWE: CWE-288 / CWE-287
CAPEC: 🔒
ATT&CK: 🔒

Físico: No
Local: No
Remoto: Sí

Disponibilidad: 🔒
Estado: No está definido

EPSS Score: 🔒
EPSS Percentile: 🔒

Predicción de precios: 🔍
Estimación del precio actual: 🔒

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoy	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Nessus ID: 294824
Nessus Nombre: Linux Distros Unpatched Vulnerability : CVE-2025-11984

Inteligencia de amenazasinformación

Interés: 🔍
Actores activos: 🔍
Grupos APT activos: 🔍

Contramedidasinformación

Recomendación: Actualización
Estado: 🔍

Hora de 0 días: 🔒

Actualización: Community Edition/Enterprise Edition 18.4.6/18.5.4/18.6.2

Línea de tiempoinformación

2025-10-20 CVE asignado
2025-12-11 +52 días Aviso publicado
2025-12-11 +0 días Entrada de VulDB creada
2026-01-23 +43 días Última actualización de VulDB