Se ha identificado que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha incluido una vulnerabilidad crítica de GitLab en su lista de vulnerabilidades explotadas conocidas (KEV) debido a su activa explotación. Identificada como CVE-2023-7028 y con una puntuación CVSS de 10.0, esta vulnerabilidad considerada como Crítica podría permitir el robo de cuentas al enviar correos electrónicos de restablecimiento de contraseña a direcciones de correo electrónico no verificadas.
GitLab reveló detalles de la brecha de seguridad a principios de enero, indicando que se introdujo como parte de un cambio de código en la versión 16.1.0 el 1 de mayo de 2023. La vulnerabilidad afecta a todos los mecanismos de autenticación, poniendo en riesgo incluso a los usuarios que cuentan con autenticación de dos factores.