प्लेटफ़ॉर्म
python
घटक
plane
में ठीक किया गया
1.2.4
1.2.3
CVE-2026-30242 एक सर्वर-साइड रिक्वेस्ट फोर्जिंग (SSRF) भेद्यता है जो Plane एप्लिकेशन में पाई गई है। यह भेद्यता हमलावरों को आंतरिक नेटवर्क संसाधनों तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। यह भेद्यता Plane एप्लिकेशन के संस्करणों ≤0.2.1 को प्रभावित करती है। संस्करण 1.2.3 में इस समस्या का समाधान किया गया है।
इस SSRF भेद्यता का उपयोग करके, एक हमलावर क्लाउड मेटाडेटा को बाहर निकाल सकता है, जैसे कि AWS/GCP/Azure इंस्टेंस मेटाडेटा (IAM क्रेडेंशियल, टोकन)। इसके अतिरिक्त, हमलावर आंतरिक नेटवर्क सेवाओं को स्कैन कर सकता है, जिससे संवेदनशील जानकारी उजागर हो सकती है या सिस्टम में प्रवेश प्राप्त किया जा सकता है। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहां Plane एप्लिकेशन का उपयोग आंतरिक सेवाओं के साथ एकीकृत करने के लिए किया जाता है। हमलावर वेबहुक के माध्यम से आंतरिक सेवाओं तक पहुंच प्राप्त कर सकते हैं, जो अन्यथा दुर्गम होंगे।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसकी गंभीरता को देखते हुए, इसे भविष्य में जोड़ा जा सकता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ़-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है। CVE 2026-30242 को 2026-03-05 को प्रकाशित किया गया था।
Organizations using Plane for workspace management, particularly those relying on cloud-based infrastructure (AWS, GCP, Azure), are at significant risk. Environments with overly permissive administrator roles or lacking network segmentation are especially vulnerable. Shared hosting environments where multiple users share a Plane instance could also be affected.
• linux / server:
journalctl -u plane | grep -i "webhook url validation"• python / application:
Inspect the plane/app/serializers/webhook.py file for the vulnerable URL validation logic. Look for instances where ip.is_loopback is the sole check.
• generic web:
Check Plane's webhook endpoint for unexpected responses when sending requests to internal IP addresses. Use curl to test:
curl -v http://<plane_server>/webhooks/<your_webhook_id> --data 'url=http://10.0.0.1'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
Plane एप्लिकेशन के संस्करण 1.2.3 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेबहुक कॉन्फ़िगरेशन को सख्त करके केवल विश्वसनीय स्रोतों से वेबहुक को अनुमति दी जानी चाहिए। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके आंतरिक नेटवर्क पतों पर वेबहुक अनुरोधों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, नेटवर्क सेगमेंटेशन और एक्सेस नियंत्रण नीतियों को लागू करके आंतरिक नेटवर्क संसाधनों की सुरक्षा बढ़ाई जा सकती है। अपग्रेड के बाद, वेबहुक कॉन्फ़िगरेशन की समीक्षा करके और यह सुनिश्चित करके कि वे केवल विश्वसनीय स्रोतों से हैं, सत्यापन करें।
Plane के संस्करण को 1.2.3 या उच्चतर में अपडेट करें। इस संस्करण में वेबहुक URL में अपूर्ण IP सत्यापन के लिए एक सुधार शामिल है, जो SSRF हमलों को रोकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-30242 Plane एप्लिकेशन में एक सर्वर-साइड रिक्वेस्ट फोर्जिंग (SSRF) भेद्यता है जो हमलावरों को आंतरिक नेटवर्क संसाधनों तक पहुंचने की अनुमति देती है।
यदि आप Plane एप्लिकेशन के संस्करण ≤0.2.1 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Plane एप्लिकेशन के संस्करण 1.2.3 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो वेबहुक कॉन्फ़िगरेशन को सख्त करें और WAF का उपयोग करें।
हालांकि सार्वजनिक PoC उपलब्ध नहीं हैं, भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जा सकता है।
Plane एप्लिकेशन सलाहकार के लिए Plane की वेबसाइट देखें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।