GitLab parchea vulnerabilidad en su asistente Duo que permitía robo de código (CVE-2025-2867)

GitLab ha distribuido parches de emergencia —17.10.1, 17.9.3 y 17.8.6— para mitigar la vulnerabilidad CVE-2025-2867, una indirect prompt injection que afectaba a su asistente de IA GitLab Duo y que ya había sido demostrada públicamente por Legit Security.

¿En qué consistía el fallo?

La debilidad permitía inyectar instrucciones ocultas —comentarios blancos, texto codificado en Base16 o manipulado con Unicode smuggling— dentro de merge requests, issues o incluso el propio código. Cuando Duo procesaba ese contexto, obedecía las órdenes maliciosas y podía:

• Exfiltrar fragmentos de código privado a un servidor controlado por el atacante.
• Inyectar HTML o JavaScript en las respuestas, redirigiendo al desarrollador a sitios de phishing o paquetes maliciosos.

Todas las ediciones CE/EE desde la rama 17.8 hasta la 17.10.0 inclusive estaban expuestas a un ataque de indirect prompt injection, que explota la confianza que la IA otorga al contexto no estructurado para manipular su comportamiento. Un atacante que lograra introducir un “comentario trampa” —por ejemplo, mediante un fork o una simple sugerencia de cambio— podía robar propiedad intelectual, filtrar zero-days internos o engañar a otros desarrolladores para que importaran dependencias maliciosas. El 26 de marzo de 2025, GitLab publicó las versiones corregidas 17.10.1, 17.9.3 y 17.8.6, y GitLab.com ya ejecuta el código seguro.

Recomendaciones

1. Actualizar inmediatamente a una versión parcheada.
2. Si la actualización se retrasa, deshabilitar GitLab Duo (GITLAB_DUO_DISABLED=true) y limitar su uso a repositorios públicos.
3. Revisar registros de Duo y tráfico saliente en busca de respuestas que incluyan URLs o código fuera del dominio corporativo.
4. Implementar filtros que bloqueen texto oculto o codificado en comentarios y descripciones.

Más información

• The Hacker News – GitLab Duo Vulnerability Enabled Attackers to Hijack AI Responses with Hidden Prompts (23 may 2025): https://thehackernews.com/2025/05/gitlab-duo-vulnerability-enabled.html
• GitLab — Patch release 17.10.1 / 17.9.3 / 17.8.6 (26 mar 2025): https://about.gitlab.com/releases/2025/03/26/patch-release-gitlab-17-10-1-released/
• NVD – CVE-2025-2867: https://nvd.nist.gov/vuln/detail/CVE-2025-2867
• Documentación oficial GitLab Duo: https://docs.gitlab.com/user/gitlab_duo/
• Legit Security – GenAI-Based Application Security 101: https://www.legitsecurity.com/blog/genai-based-application-security-101

La entrada GitLab parchea vulnerabilidad en su asistente Duo que permitía robo de código (CVE-2025-2867) se publicó primero en Una Al Día.