प्लेटफ़ॉर्म
nodejs
घटक
plane
में ठीक किया गया
1.3.1
Plane, एक ओपन-सोर्स प्रोजेक्ट मैनेजमेंट टूल में एक असुरक्षित डिज़ाइन की भेद्यता पाई गई है। इस भेद्यता के कारण, त्रुटि हैंडलिंग के दौरान उपयोगकर्ता का ईमेल पता URL के क्वेरी पैरामीटर में उजागर हो जाता है, जो व्यक्तिगत रूप से पहचान योग्य जानकारी (PII) को उजागर कर सकता है। यह भेद्यता Plane के संस्करण 1.0.0 से 1.3.0 तक के संस्करणों को प्रभावित करती है, और इसे संस्करण 1.3.0 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को उपयोगकर्ता के ईमेल पते को उजागर करने की अनुमति देती है, जो PII का एक संवेदनशील टुकड़ा है। यह जानकारी फ़िशिंग हमलों, स्पैम या अन्य दुर्भावनापूर्ण गतिविधियों के लिए इस्तेमाल की जा सकती है। चूंकि ईमेल पता URL में उजागर होता है, इसलिए यह भेद्यता आसानी से खोजा जा सकता है और इसका फायदा उठाया जा सकता है। इस भेद्यता का प्रभाव मध्यम है, क्योंकि यह डेटा उल्लंघन का कारण बन सकता है, लेकिन सिस्टम तक सीधी पहुंच प्रदान नहीं करता है।
यह भेद्यता अभी तक सक्रिय रूप से शोषण नहीं की गई है, लेकिन सार्वजनिक रूप से उपलब्ध है। यह KEV (CISA Known Exploited Vulnerabilities) सूची में शामिल नहीं है। इस भेद्यता का जोखिम कम है, क्योंकि इसका फायदा उठाने के लिए हमलावर को Plane इंस्टेंस की पहचान करनी होगी और त्रुटि हैंडलिंग प्रक्रिया का फायदा उठाना होगा।
Organizations utilizing Plane for project management, particularly those with sensitive user data, are at risk. This includes teams relying on Plane for internal collaboration and those hosting Plane instances in shared environments where URL observation might be easier.
• nodejs / server:
find /opt/plane -path '*/packages/utils/src/auth.ts' -print• generic web:
curl -I 'https://your-plane-instance/auth?magic_code=invalid' | grep Emaildisclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
Plane के संस्करण 1.3.0 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके URL में ईमेल पते को फ़िल्टर किया जा सकता है। इसके अतिरिक्त, त्रुटि हैंडलिंग को इस तरह से संशोधित किया जा सकता है कि ईमेल पते को URL में उजागर न किया जाए। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, त्रुटि हैंडलिंग प्रक्रिया का परीक्षण करें।
Actualice a la versión 1.3.0 o superior para evitar la exposición de la dirección de correo electrónico del usuario en la URL durante el manejo de errores. Esta actualización corrige la vulnerabilidad al evitar la inclusión de la dirección de correo electrónico en los parámetros de la URL.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-27949 Plane में एक असुरक्षित डिज़ाइन है जहां त्रुटि हैंडलिंग के दौरान उपयोगकर्ता का ईमेल पता URL में उजागर हो जाता है।
यदि आप Plane के संस्करण 1.0.0 से 1.3.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Plane के संस्करण 1.3.0 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF का उपयोग करके URL में ईमेल पते को फ़िल्टर करें।
वर्तमान में, CVE-2026-27949 सक्रिय रूप से शोषण नहीं किया जा रहा है, लेकिन सार्वजनिक रूप से उपलब्ध है।
Plane की आधिकारिक सलाह उनके वेबसाइट पर उपलब्ध है: [Plane वेबसाइट लिंक]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।