Plataforma
other
Componente
plane
Corregido en
0.17.1
Plane, una herramienta de gestión de proyectos de código abierto, presenta una vulnerabilidad de Server-Side Request Forgery (SSRF) en versiones anteriores a 0.17-dev. Esta falla permite a un atacante enviar solicitudes arbitrarias desde el servidor que aloja la aplicación, lo que podría resultar en acceso no autorizado a sistemas internos. La actualización a la versión 0.17-dev corrige esta vulnerabilidad.
La vulnerabilidad SSRF en Plane permite a un atacante explotar el servidor para realizar solicitudes a recursos internos que normalmente no serían accesibles desde el exterior. Esto puede incluir el acceso no autorizado a servicios internos, la fuga de información sensible almacenada en esos servicios, o incluso la manipulación de sistemas internos a través de sus APIs. Un atacante podría, por ejemplo, escanear la red interna en busca de servicios expuestos, o intentar acceder a bases de datos o sistemas de gestión de configuración. La severidad crítica de la vulnerabilidad se debe a la facilidad con la que puede ser explotada y al potencial daño que puede causar.
Esta vulnerabilidad ha sido publicada públicamente el 10 de abril de 2024. No se ha reportado su inclusión en el KEV de CISA ni la confirmación de explotación activa en campañas conocidas. La disponibilidad de un proof-of-concept público podría facilitar la explotación por parte de actores maliciosos.
Organizations using Plane for project management, particularly those with sensitive internal services accessible from the application server, are at risk. Shared hosting environments where Plane is deployed alongside other applications are also vulnerable, as a compromised Plane instance could potentially be used to access other hosted services.
• linux / server: Monitor Plane application logs for unusual outbound requests to internal services. Use journalctl -u plane to filter for HTTP requests to unexpected destinations.
journalctl -u plane | grep -i 'http://internal.service/'• generic web: Use curl to test for SSRF by attempting to access internal services through the Plane application.
curl http://localhost:8080/internal_service• windows / supply-chain: If Plane is running within a container on Windows, monitor container logs for suspicious outbound connections using PowerShell's Get-NetTCPConnection.
disclosure
Estado del Exploit
EPSS
0.31% (54% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 0.17-dev de Plane, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar reglas de firewall o WAF (Web Application Firewall) para restringir las solicitudes salientes del servidor a dominios y direcciones IP confiables. Además, se debe revisar la configuración de la aplicación para asegurar que no se estén utilizando credenciales o tokens de acceso sensibles en las solicitudes. Tras la actualización, verifique que la funcionalidad de la aplicación no se vea afectada y que las solicitudes salientes estén correctamente restringidas.
Actualice a la versión 0.17-dev o posterior. Si no puede actualizar inmediatamente, restrinja las conexiones de red salientes del servidor que aloja la aplicación solo a los servicios esenciales. Implemente una validación estricta de las URL o parámetros que se utilizan para generar solicitudes del lado del servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-31461 is a critical SSRF vulnerability in Plane versions prior to 0.17-dev, allowing attackers to send requests from the server, potentially accessing internal systems.
Yes, if you are using Plane version 0.17-dev or earlier, you are vulnerable to this SSRF vulnerability.
Upgrade Plane to version 0.17-dev or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
While no active exploitation campaigns have been publicly reported, the vulnerability's severity makes it a potential target.
Refer to the Plane project's official release notes and security advisories on their GitHub repository for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.