プラットフォーム
nextjs
コンポーネント
plane
修正版
0.23.1
CVE-2024-47830は、オープンソースプロジェクト管理ツールPlaneにおけるサーバーサイドリクエストフォワード(SSRF)脆弱性です。この脆弱性を悪用されると、攻撃者はPlaneサーバーに任意のホスト名へのリクエストを送信させることが可能となり、機密情報へのアクセスや、内部ネットワークへの侵入につながる可能性があります。影響を受けるバージョンは0.23.0以前であり、0.23.0へのアップデートでこの問題は修正されています。
このSSRF脆弱性は、攻撃者にとって非常に危険です。攻撃者は、Planeサーバーをプロキシとして利用し、本来アクセスできない内部リソースにアクセスしたり、外部サービスへの不正なリクエストを送信したりすることが可能になります。例えば、内部データベースへのアクセス、機密情報の窃取、さらには他の内部システムへの攻撃の足がかりとして利用される可能性があります。この脆弱性は、類似のSSRF攻撃と同様に、広範囲な影響を及ぼす可能性があります。攻撃者は、機密情報を盗み出し、システムを制御し、さらにはネットワーク全体に影響を及ぼす可能性があります。
この脆弱性は、2024年10月11日に公開されました。現時点では、KEV(Known Exploited Vulnerabilities)カタログには登録されていません。公的なPoC(Proof of Concept)は確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、注意が必要です。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の情報を入手するようにしてください。
Organizations using Plane for project management, particularly those with sensitive internal resources or cloud infrastructure, are at risk. Shared hosting environments where Plane is deployed alongside other applications are also vulnerable, as a compromised Plane instance could be used to pivot to other tenants. Legacy Plane deployments running older, unpatched versions are especially susceptible.
• generic web: Use curl to test for SSRF by attempting to access internal services or cloud metadata endpoints through the Plane application.
curl http://localhost:3000/web/next.config.js?image=http://169.254.169.254/latest/meta-data/iam/security-credentials/admin• linux / server: Monitor system logs (e.g., /var/log/syslog, /var/log/nginx/access.log) for outbound requests to unusual or unexpected destinations originating from the Plane application's process. Use ss or lsof to identify network connections established by the Plane process.
ss -t tcp -p | grep plane
lsof -i -p $(pidof plane)• generic web: Examine access and error logs for patterns indicative of SSRF attempts, such as requests to internal IP addresses or cloud metadata endpoints. Look for unusual HTTP status codes (e.g., 403 Forbidden) when attempting to access restricted resources.
disclosure
patch
エクスプロイト状況
EPSS
0.40% (61% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応として、まずPlaneをバージョン0.23.0にアップデートすることを強く推奨します。アップデートが困難な場合は、一時的な緩和策として、WAF(Web Application Firewall)を導入し、外部への不正なリクエストをブロックするルールを設定することを検討してください。また、next.config.jsファイルにおけるワイルドカードの使用を制限する設定変更も有効です。アップデート後、Planeのログを確認し、不正なリクエストがないか確認することで、脆弱性の影響を受けていないことを確認できます。
Plane をバージョン 0.23.0 以降にアップデートしてください。このバージョンは /_next/image エンドポイントにおける Server Side Request Forgery (SSRF) 脆弱性を修正します。アップデートすることで、攻撃者がサーバーから意図しない場所へのリクエストを実行することを防ぐことができます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-47830は、Planeプロジェクト管理ツールにおけるサーバーサイドリクエストフォワード(SSRF)脆弱性です。攻撃者は、この脆弱性を悪用して、任意のホスト名へのリクエストを送信させることが可能です。
Planeのバージョンが0.23.0以前の場合は影響を受けます。バージョン0.23.0にアップデートすることで、この脆弱性は修正されます。
Planeをバージョン0.23.0にアップデートしてください。アップデートが困難な場合は、WAFを導入し、不正なリクエストをブロックするルールを設定することを検討してください。
現時点では、公的なPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、注意が必要です。
Planeの公式アドバイザリは、PlaneのGitHubリポジトリまたは公式ウェブサイトで確認できます。