प्लेटफ़ॉर्म
nodejs
घटक
plane
में ठीक किया गया
0.28.1
Plane प्रोजेक्ट मैनेजमेंट टूल में CVE-2026-39843 एक गंभीर सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है। यह भेद्यता हमलावरों को आंतरिक संसाधनों तक पहुंचने की अनुमति दे सकती है। यह भेद्यता Plane के संस्करण 0.28.0 से 1.3.0 से पहले के संस्करणों को प्रभावित करती है। संस्करण 1.3.0 में इस समस्या का समाधान किया गया है।
यह SSRF भेद्यता हमलावरों को Plane सर्वर के माध्यम से आंतरिक नेटवर्क संसाधनों तक पहुंचने की अनुमति देती है। हमलावर निजी IP पतों पर रीडायरेक्ट करने वाले लिंक टैग के साथ HTML पेज का उपयोग करके ऐसा कर सकते हैं। इससे संवेदनशील डेटा का खुलासा हो सकता है, जैसे कि आंतरिक सेवाओं तक पहुंच या अन्य आंतरिक प्रणालियों पर हमले। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि हमलावर को केवल Plane सिस्टम में प्रमाणीकरण की आवश्यकता होती है, जो अक्सर कम विशेषाधिकार वाले उपयोगकर्ताओं के लिए संभव होता है। यह भेद्यता Log4Shell जैसी SSRF भेद्यताओं के समान है, जहां हमलावर आंतरिक सेवाओं को उजागर करने के लिए सर्वर को प्रॉक्सी के रूप में उपयोग कर सकते हैं।
CVE-2026-39843 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च CVSS स्कोर और अपेक्षाकृत सरल शोषण वेक्टर के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, लेकिन इनकी पुष्टि नहीं की जा सकी है। NVD और CISA ने इस भेद्यता के लिए अलर्ट जारी किए हैं, जो इसकी गंभीरता को दर्शाता है।
Organizations using Plane for project management, particularly those with internal services accessible via the network, are at risk. Environments with less stringent user permission controls and those relying on legacy configurations are especially vulnerable. Shared hosting environments where multiple users share the same Plane instance should also be considered at higher risk.
• nodejs: Monitor Plane application logs for requests to internal IP addresses. Use npm audit to check for known vulnerabilities in Plane dependencies.
npm audit plane• generic web: Examine access logs for requests originating from Plane with unusual or unexpected target URLs, especially those resolving to private IP addresses. Check response headers for signs of SSRF exploitation.
curl -I <plane_url>/<malicious_link>disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-39843 के लिए प्राथमिक शमन उपाय Plane को संस्करण 1.3.0 में अपग्रेड करना है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके बाहरी स्रोतों से favicon फ़ेच अनुरोधों को ब्लॉक कर सकते हैं। इसके अतिरिक्त, आप Plane के कॉन्फ़िगरेशन में रीडायरेक्ट फ़ॉलोइंग को अक्षम करने का प्रयास कर सकते हैं, हालांकि यह एक आधिकारिक समर्थित समाधान नहीं है। अपग्रेड के बाद, यह सत्यापित करें कि favicon फ़ेच अनुरोध अब सफल नहीं हो रहे हैं और आंतरिक संसाधनों तक पहुंच नहीं दे रहे हैं।
संस्करण 1.3.0 या उससे ऊपर के संस्करण में अपडेट करें ताकि (SSRF) भेद्यता को कम किया जा सके। यह संस्करण favicon URLs के गलत सत्यापन को ठीक करता है, जिससे एक हमलावर निजी IP पतों पर अनुरोध करने में असमर्थ हो जाता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-39843 एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो Plane के संस्करण 0.28.0 से 1.3.0 से पहले के संस्करणों को प्रभावित करती है। यह हमलावरों को आंतरिक संसाधनों तक पहुंचने की अनुमति दे सकती है।
यदि आप Plane के संस्करण 0.28.0 से 1.3.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-39843 को ठीक करने के लिए, Plane को संस्करण 1.3.0 में अपग्रेड करें।
CVE-2026-39843 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च CVSS स्कोर के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है।
आप आधिकारिक Plane सलाहकार को Plane की वेबसाइट पर पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।