Plateforme
nodejs
Composant
plane
Corrigé dans
1.3.1
CVE-2026-27949 affects Plane, an open-source project management tool. This vulnerability involves the exposure of a user's email address in the URL query parameters during authentication error handling, specifically when an invalid magic code is submitted. This constitutes a PII disclosure due to the insecure practice of transmitting sensitive information via GET requests. The vulnerability impacts versions 1.0.0 through 1.2.9 and is resolved in version 1.3.0.
CVE-2026-27949 affecte Plane, un outil de gestion de projet open source, dans les versions antérieures à la 1.3.0. La vulnérabilité réside dans le flux d'authentification, où l'adresse e-mail d'un utilisateur est incluse comme paramètre de requête dans l'URL lors de la gestion des erreurs (par exemple, lorsqu'un code magique invalide est soumis). Cette pratique de conception non sécurisée, impliquant la transmission d'informations d'identification personnelle (PII) via des chaînes de requête GET, pourrait permettre à des attaquants d'intercepter ou de journaliser ces informations sensibles. Bien que l'exposition soit limitée à l'URL dans le contexte de l'erreur, l'inclusion de l'adresse e-mail représente un risque de confidentialité pour les utilisateurs, en particulier dans les environnements où les URL peuvent être stockées dans les journaux du serveur ou interceptées pendant la transmission. La gravité de la vulnérabilité est basée sur le potentiel de divulgation de PII et la facilité relative d'exploitation.
La vulnérabilité est exploitée en tentant de s'authentifier sur Plane avec un code magique invalide. L'erreur résultante inclut l'adresse e-mail de l'utilisateur dans l'URL. Un attaquant pourrait intercepter cette URL (par exemple, par le biais d'une attaque de l'homme du milieu ou en analysant les journaux du serveur) pour obtenir l'adresse e-mail. L'exploitation ne nécessite pas d'authentification préalable, mais nécessite la capacité d'observer le trafic réseau ou d'accéder aux journaux du serveur. La probabilité d'exploitation dépend de la fréquence à laquelle les utilisateurs tentent de s'authentifier avec des codes magiques invalides et de la visibilité des URL dans l'environnement.
Organizations utilizing Plane for project management, particularly those with sensitive user data, are at risk. This includes teams relying on Plane for internal collaboration and those hosting Plane instances in shared environments where URL observation might be easier.
• nodejs / server:
find /opt/plane -path '*/packages/utils/src/auth.ts' -print• generic web:
curl -I 'https://your-plane-instance/auth?magic_code=invalid' | grep Emaildisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La solution à CVE-2026-27949 consiste à mettre à niveau Plane vers la version 1.3.0 ou ultérieure. Cette version corrige la vulnérabilité en supprimant l'inclusion de l'adresse e-mail dans les URL lors de la gestion des erreurs d'authentification. Les administrateurs système et les utilisateurs de Plane sont fortement encouragés à mettre à niveau leurs installations dès que possible pour atténuer le risque. De plus, il est conseillé d'examiner les journaux du serveur à la recherche d'éventuelles occurrences de l'adresse e-mail exposée dans les URL et de prendre des mesures pour supprimer ou anonymiser ces informations. La mise en œuvre de politiques de sécurité réseau robustes, telles que le cryptage HTTPS, peut également aider à protéger la confidentialité des données en transit.
Actualice a la versión 1.3.0 o superior para evitar la exposición de la dirección de correo electrónico del usuario en la URL durante el manejo de errores. Esta actualización corrige la vulnerabilidad al evitar la inclusión de la dirección de correo electrónico en los parámetros de la URL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité de sécurité dans Plane qui expose l'adresse e-mail de l'utilisateur dans l'URL lors d'erreurs d'authentification.
Mettez à niveau vers la version 1.3.0 ou ultérieure immédiatement.
Examinez les journaux du serveur à la recherche d'URL contenant des adresses e-mail dans le contexte d'erreurs d'authentification.
Pas nécessairement, mais c'est une bonne pratique de sécurité générale.
Actuellement, il n'existe pas d'outils spécifiques, mais l'examen manuel des journaux du serveur est efficace.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.