Plataforma
nodejs
Componente
plane
Corregido en
0.28.1
CVE-2026-39843 es una vulnerabilidad de Server-Side Request Forgery (SSRF) que afecta a Plane, una herramienta de gestión de proyectos de código abierto. Esta vulnerabilidad permite a un atacante autenticado con privilegios bajos, a través de una etiqueta de enlace HTML maliciosa que redirige a una dirección IP privada, leer recursos internos. La vulnerabilidad se encuentra presente en las versiones desde 0.28.0 hasta, pero sin incluir, la versión 1.3.0. La solución es actualizar a la versión 1.3.0.
La vulnerabilidad SSRF en Plane permite a un atacante autenticado con privilegios bajos, explotar una validación incompleta de redirecciones para acceder a recursos internos que normalmente no serían accesibles desde el exterior. Un atacante podría, por ejemplo, leer archivos de configuración sensibles, acceder a bases de datos internas o interactuar con otros servicios internos. El alcance de la explotación depende de los permisos del usuario atacante y de la configuración de la red interna. Esta vulnerabilidad se asemeja a otros ataques SSRF donde la validación de URLs es insuficiente, permitiendo el acceso a recursos no autorizados.
Este CVE fue publicado el 2026-04-09. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. No se han encontrado públicamente pruebas de concepto (PoCs) disponibles, lo que sugiere un riesgo de explotación relativamente bajo en el momento actual. Sin embargo, dada la naturaleza de las vulnerabilidades SSRF, es importante aplicar las mitigaciones recomendadas para reducir el riesgo potencial.
Organizations using Plane for project management, particularly those with internal services accessible via the network, are at risk. Environments with less stringent user permission controls and those relying on legacy configurations are especially vulnerable. Shared hosting environments where multiple users share the same Plane instance should also be considered at higher risk.
• nodejs: Monitor Plane application logs for requests to internal IP addresses. Use npm audit to check for known vulnerabilities in Plane dependencies.
npm audit plane• generic web: Examine access logs for requests originating from Plane with unusual or unexpected target URLs, especially those resolving to private IP addresses. Check response headers for signs of SSRF exploitation.
curl -I <plane_url>/<malicious_link>disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Plane a la versión 1.3.0, que corrige la vulnerabilidad. Si la actualización inmediata no es posible, se pueden implementar mitigaciones temporales. Se recomienda revisar y reforzar la validación de URLs en la aplicación, asegurándose de que todas las redirecciones sean correctamente verificadas. Implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes a direcciones IP privadas o a dominios internos. Monitorear los logs de la aplicación en busca de patrones de tráfico sospechosos que puedan indicar un intento de explotación. Después de la actualización, confirmar la corrección revisando los logs y realizando pruebas de penetración.
Actualice a la versión 1.3.0 o superior para mitigar la vulnerabilidad de SSRF. Esta versión corrige la validación incorrecta de las URLs de favicon, evitando que un atacante pueda realizar solicitudes a direcciones IP privadas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39843 is a HIGH severity SSRF vulnerability affecting Plane versions 0.28.0 through 1.2.9. An attacker can exploit this by crafting a malicious link tag to access internal resources.
If you are running Plane version 0.28.0 or later, and before 1.3.0, you are potentially affected by this SSRF vulnerability. Assess your environment and upgrade as soon as possible.
The recommended fix is to upgrade Plane to version 1.3.0 or later. As a temporary workaround, implement a WAF rule to block requests to private IP addresses.
As of the current assessment, there is no evidence of active exploitation campaigns targeting CVE-2026-39843.
Refer to the official Plane project repository and release notes for the advisory related to CVE-2026-39843: [https://github.com/plane-project/plane](https://github.com/plane-project/plane)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.