一、 基本情况

      GitLab EE/CE存在信息泄露漏洞，CVE编号：CVE-2020-6832。攻击者利用该漏洞可从私有项目中获取到敏感信息。

      二、 攻击原理

      GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git（版本控制系统）项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。

      GitLab（社区版）8.9.0版本至12.6.1版本中存在安全漏洞。攻击者可借助项目导入功能利用该漏洞获取信息。

      三、 影响范围

      受影响版本：

      GitLab EE 8.9.0 及之后版本

      不受影响版本：

      GitLab EE/CE = 12.4.8

      GitLab EE/CE = 12.5.7

      GitLab EE/CE = 12.6.4

      四、 处置建议

      目前官方已在最新版本中修复了该漏洞，用户可通过版本升级进行防护。GitLab下载和安装方法请参考链接：

      https://about.gitlab.com/update/

      五、参考链接

      1) https://nvd.nist.gov/vuln/detail/CVE-2020-6832