1、组件介绍

GitLab是由GitLabInc.开发，使用MIT许可证的基于网络的Git仓库管理工具，具有issue跟踪功能。它使用Git作为代码管理工具，并在此基础上搭建起来的web服务。

2、漏洞描述

2021年7月9日，深信服安全团队监测到一则GitLab 组件存在 任意文件读取漏洞的信息。

该漏洞是由于Design/Design Management 中的代码存在设计缺陷，导致攻击者可利用该漏洞构造恶意数据执行任意文件读取攻击，最终造成服务器敏感性信息泄露。

GitLab 可以运行在几乎所有计算机平台上，由于其跨平台和安全性被广泛使用，成为最流行的仓库管理系统项目之一。全球有数十万 GitLab 云托管服务器，可能受漏洞影响的资产广泛分布于世界各地，中国大陆省份中，浙江、广东、山东、北京、上海等省市位于前列。

目前受影响的GitLab版本：

GitLab（CE/EE）14.0.x  - 14.0.3

GitLab（CE/EE）13.12.x - 13.12.8

GitLab（CE/EE）13.11.x - 13.11.7

1、如何检测组件系统版本

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：