Plateforme
python
Composant
plane
Corrigé dans
1.2.4
1.2.3
La vulnérabilité CVE-2026-30242 est une faille SSRF (Server-Side Request Forgery) découverte dans l'application Plane. Cette faille permet à un attaquant disposant du rôle ADMINISTRATEUR de créer des webhooks pointant vers des adresses réseau internes, permettant la lecture de réponses et l'accès à des données sensibles. Elle affecte les versions de Plane inférieures ou égales à 0.2.1. Une version corrigée, 1.2.3, est disponible.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter la faille pour exfiltrer les métadonnées des instances cloud (AWS, GCP, Azure), compromettant ainsi les informations d'identification IAM et les tokens. De plus, l'attaquant peut scanner le réseau interne à la recherche de services vulnérables, élargissant potentiellement la surface d'attaque. La capacité à lire les réponses des requêtes internes permet une collecte d'informations plus approfondie sur l'infrastructure interne.
Cette vulnérabilité a été publiée le 5 mars 2026. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'un accès ADMINISTRATEUR au workspace Plane. Aucun PoC public n'est connu à ce jour, mais la simplicité de l'exploitation potentielle pourrait encourager son développement.
Organizations using Plane for workspace management, particularly those relying on cloud-based infrastructure (AWS, GCP, Azure), are at significant risk. Environments with overly permissive administrator roles or lacking network segmentation are especially vulnerable. Shared hosting environments where multiple users share a Plane instance could also be affected.
• linux / server:
journalctl -u plane | grep -i "webhook url validation"• python / application:
Inspect the plane/app/serializers/webhook.py file for the vulnerable URL validation logic. Look for instances where ip.is_loopback is the sole check.
• generic web:
Check Plane's webhook endpoint for unexpected responses when sending requests to internal IP addresses. Use curl to test:
curl -v http://<plane_server>/webhooks/<your_webhook_id> --data 'url=http://10.0.0.1'disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour l'application Plane vers la version 1.2.3 ou supérieure, qui corrige la validation des URL de webhook. En attendant la mise à jour, il est possible de restreindre l'accès réseau de l'application Plane en utilisant des règles de pare-feu ou des groupes de sécurité pour bloquer les connexions vers des adresses IP internes. Surveillez les journaux d'accès pour détecter des requêtes suspectes vers des adresses IP internes. Après la mise à jour, vérifiez la configuration des webhooks pour vous assurer qu'ils pointent vers des destinations autorisées.
Mettez à jour la version de Plane à la 1.2.3 ou supérieure. Cette version contient une correction pour la validation incomplète des adresses IP dans les URLs de webhook, empêchant les attaques SSRF.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-30242 is a HIGH severity SSRF vulnerability in Plane versions up to 0.2.1, allowing attackers with ADMIN roles to exfiltrate cloud metadata and scan internal networks.
If you are using Plane version 0.2.1 or earlier, you are potentially affected by this SSRF vulnerability. Upgrade to 1.2.3 or later to mitigate the risk.
The recommended fix is to upgrade Plane to version 1.2.3 or later. As a temporary workaround, restrict network access and implement WAF rules.
There is currently no confirmed evidence of active exploitation of CVE-2026-30242, but the vulnerability's nature makes it a potential target.
Refer to the official Plane security advisory for detailed information and updates regarding CVE-2026-30242. (Link to advisory would be here if available)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.