Plateforme
nodejs
Composant
plane
Corrigé dans
0.28.1
La vulnérabilité CVE-2026-39843 est une faille de Server-Side Request Forgery (SSRF) affectant l'outil de gestion de projet open-source Plane. Cette faille permet à un attaquant authentifié, disposant de privilèges limités, d'effectuer des requêtes vers des ressources internes, potentiellement sensibles. Elle concerne les versions de Plane comprises entre 0.28.0 et 1.2.9 (excluant 1.3.0). Une correction a été déployée dans la version 1.3.0.
Un attaquant exploitant cette vulnérabilité SSRF peut potentiellement accéder à des ressources internes qui ne sont pas directement accessibles depuis l'extérieur du réseau. Cela peut inclure des informations sensibles stockées sur des serveurs internes, des services d'administration ou même des bases de données. L'attaquant pourrait également utiliser cette faille pour scanner le réseau interne à la recherche d'autres vulnérabilités ou pour lancer des attaques contre d'autres systèmes. La validation des redirections pour l'URL principale est effectuée, mais pas pour le chemin de récupération de l'icône (favicon), permettant l'exploitation via requests.get(favicon_url, ...).
Cette vulnérabilité a été publiée le 9 avril 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une authentification préalable. Il n'est pas listé sur le KEV de CISA à ce jour. Des preuves de concept publiques sont susceptibles d'émerger, augmentant le risque d'exploitation.
Organizations using Plane for project management, particularly those with internal services accessible via the network, are at risk. Environments with less stringent user permission controls and those relying on legacy configurations are especially vulnerable. Shared hosting environments where multiple users share the same Plane instance should also be considered at higher risk.
• nodejs: Monitor Plane application logs for requests to internal IP addresses. Use npm audit to check for known vulnerabilities in Plane dependencies.
npm audit plane• generic web: Examine access logs for requests originating from Plane with unusual or unexpected target URLs, especially those resolving to private IP addresses. Check response headers for signs of SSRF exploitation.
curl -I <plane_url>/<malicious_link>disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Plane vers la version 1.3.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de mettre en place des règles de pare-feu applicatif (WAF) pour bloquer les requêtes suspectes. Il est également possible de configurer un proxy inverse pour filtrer les requêtes sortantes et empêcher l'accès à des adresses IP privées. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte.
Mettez à jour vers la version 1.3.0 ou supérieure pour atténuer la vulnérabilité SSRF. Cette version corrige la validation incorrecte des URLs de favicon, empêchant ainsi un attaquant de pouvoir effectuer des requêtes vers des adresses IP privées.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-39843 is a HIGH severity SSRF vulnerability affecting Plane versions 0.28.0 through 1.2.9. An attacker can exploit this by crafting a malicious link tag to access internal resources.
If you are running Plane version 0.28.0 or later, and before 1.3.0, you are potentially affected by this SSRF vulnerability. Assess your environment and upgrade as soon as possible.
The recommended fix is to upgrade Plane to version 1.3.0 or later. As a temporary workaround, implement a WAF rule to block requests to private IP addresses.
As of the current assessment, there is no evidence of active exploitation campaigns targeting CVE-2026-39843.
Refer to the official Plane project repository and release notes for the advisory related to CVE-2026-39843: [https://github.com/plane-project/plane](https://github.com/plane-project/plane)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.