La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha dado un ultimátum: los organismos federales deben parchear sus instancias de GitLab por una vulnerabilidad que fue corregida hace años pero que ahora está siendo explotada activamente en entornos reales. Se trata de una falla de tipo SSRF (Server-Side Request Forgery) conocida como CVE-2021-39935, que GitLab solucionó originalmente en diciembre de 2021.
En aquella corrección, GitLab explicó que el problema afectaba al API de CI Lint, la herramienta que permite validar y simular pipelines de CI/CD, y que en ciertas configuraciones—cuando el registro de usuarios estaba limitado—usuarios externos sin privilegios podían ejecutar solicitudes desde el servidor. El aviso técnico original está disponible en la nota de seguridad de GitLab de diciembre de 2021: GitLab Security Release (06‑12‑2021), y el detalle del CVE puede consultarse en la base de datos del NVD: CVE-2021-39935 (NVD).
Lo que ha vuelto a encender las alarmas es que CISA ha incluido esta vulnerabilidad en su catálogo de vulnerabilidades conocidas y explotadas en el mundo real, y ha impuesto un plazo a las agencias civiles federales para que implementen parches: tres semanas desde la notificación, con fecha límite el 24 de febrero de 2026, conforme a la directiva operativa vinculante BOD 22‑01. El mensaje de CISA es claro: estas fallas siguen siendo una puerta de entrada frecuente para actores maliciosos y requieren atención inmediata. La inclusión en el catálogo de CISA puede consultarse aquí: CISA — alerta sobre CVE‑2021‑39935, y la lista pública de vulnerabilidades explotadas está en: Known Exploited Vulnerabilities Catalog. La directiva que obliga a tomar medidas también puede revisarse en la página de CISA sobre BOD 22‑01: Binding Operational Directive 22‑01.
Más allá del marco federal, CISA ha instado a empresas y organizaciones privadas a priorizar la remediación, porque la exposición es real y cuantificable. El motor de búsqueda de dispositivos conectados Shodan muestra decenas de miles de instancias con la huella de GitLab accesible públicamente: más de 49,000 resultados y casi 27,000 respondiendo por defecto en el puerto 443, según búsquedas públicas de Shodan. Búsqueda GitLab en Shodan y resultados en puerto 443.
Es fácil ver por qué la prioridad es alta: GitLab es una plataforma muy extendida en el mundo del desarrollo. La compañía declara decenas de millones de usuarios y una presencia importante entre grandes empresas, por lo que una vulnerabilidad en su superficie de gestión y CI/CD tiene potencial de impacto masivo. Más información sobre la presencia de GitLab en el sector está en su sitio corporativo: About GitLab.
¿Qué deben hacer los responsables técnicos y de seguridad? El primer paso es obvio y urgente: actualizar a las versiones corregidas de GitLab, siguiendo las indicaciones del propio fabricante. Si la actualización no es inmediata, aplicar mitigaciones oficiales, restringir el acceso a las APIs expuestas y minimizar la exposición de instancias públicas son medidas temporales necesarias. También conviene auditar los registros, rotar credenciales que hayan podido quedar comprometidas y revisar reglas de firewall y controles de acceso para impedir que servicios internos reciban peticiones forzadas desde componentes expuestos.
En la práctica esto puede implicar deshabilitar el acceso público al API de CI Lint si no es estrictamente necesario, desplegar listas blancas de IP, forzar autenticación reforzada en paneles administrativos y supervisar patrones inusuales en tráfico y ejecuciones de pipelines. Si un equipo detecta actividad sospechosa y no puede mitigar la falla, la opción responsable es dejar de usar temporalmente la instancia afectada hasta aplicar la corrección o moverse a una alternativa segura.
La aparición de exploits efectivos contra un defecto corregido años atrás recuerda una lección clásica en ciberseguridad: las correcciones solo son efectivas si se aplican. Una vulnerabilidad parcheada sigue siendo peligrosa mientras existan instalaciones sin actualizar. La presión de CISA sobre entidades federales busca reducir ese gap, pero la responsabilidad recae también en administradores de sistemas y proveedores externos para mantener actualizados sus entornos de desarrollo y entrega continua.
Finalmente, conviene situar este episodio en un contexto más amplio: esta misma semana CISA ha estado emitiendo varias advertencias y ordenando parches por otras fallas críticas explotadas en el terreno. Para equipos de seguridad esto significa priorizar la gestión de parches, identificar activos expuestos y establecer procesos que acorten el tiempo entre la publicación de un parche y su despliegue efectivo.
Si quieres leer las fuentes oficiales citadas en este artículo, aquí están los enlaces principales: la nota de GitLab sobre la corrección (GitLab — Security Release), el registro del CVE en el NVD (NVD — CVE‑2021‑39935), la alerta de CISA que incorpora la vulnerabilidad al catálogo (CISA — alerta (03‑02‑2026)), la lista pública de vulnerabilidades explotadas (KEV Catalog) y una vista de la exposición en Shodan (Shodan — GitLab).
La recomendación final es sencilla: no confiar en que un parche antiguo ya no sea relevante. Si tu organización corre GitLab, comprueba versiones y aplica las correcciones cuanto antes. La industria y las agencias gubernamentales lo están haciendo; ahora le toca al resto.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...