GitLab parchea vulnerabilidad en su asistente Duo que permitía robo de código (CVE-2025-2867)

Mayela Marín

hace 10 meses

GitLab ha distribuido parches de emergencia —17.10.1, 17.9.3 y 17.8.6— para mitigar la vulnerabilidad CVE-2025-2867, una indirect prompt injection que afectaba a su asistente de IA GitLab Duo y que ya había sido demostrada públicamente por Legit Security.

¿En qué consistía el fallo?

La debilidad permitía inyectar instrucciones ocultas —comentarios blancos, texto codificado en Base16 o manipulado con Unicode smuggling— dentro de merge requests, issues o incluso el propio código. Cuando Duo procesaba ese contexto, obedecía las órdenes maliciosas y podía:

Exfiltrar fragmentos de código privado a un servidor controlado por el atacante.
Inyectar HTML o JavaScript en las respuestas, redirigiendo al desarrollador a sitios de phishing o paquetes maliciosos.

Todas las ediciones CE/EE desde la rama 17.8 hasta la 17.10.0 inclusive estaban expuestas a un ataque de indirect prompt injection, que explota la confianza que la IA otorga al contexto no estructurado para manipular su comportamiento. Un atacante que lograra introducir un “comentario trampa” —por ejemplo, mediante un fork o una simple sugerencia de cambio— podía robar propiedad intelectual, filtrar zero-days internos o engañar a otros desarrolladores para que importaran dependencias maliciosas. El 26 de marzo de 2025, GitLab publicó las versiones corregidas 17.10.1, 17.9.3 y 17.8.6, y GitLab.com ya ejecuta el código seguro.

Recomendaciones

Actualizar inmediatamente a una versión parcheada.
Si la actualización se retrasa, deshabilitar GitLab Duo (GITLAB_DUO_DISABLED=true) y limitar su uso a repositorios públicos.
Revisar registros de Duo y tráfico saliente en busca de respuestas que incluyan URLs o código fuera del dominio corporativo.
Implementar filtros que bloqueen texto oculto o codificado en comentarios y descripciones.