Plane はユーザーのメールアドレス (PII および認証情報の部分) を GET パラメータで公開します

CVE-2026-27949 は、1.3.0 以前のバージョンのオープンソースプロジェクト管理ツール Plane に影響を与えます。この脆弱性は、認証フロー内に存在し、エラー処理時（無効なマジックコードが送信された場合など）に、ユーザーのメールアドレスを URL のクエリパラメータとして含めてしまうものです。この不安全な設計プラクティスは、GET リクエストのクエリ文字列を介して個人を特定できる情報 (PII) を送信するものであり、攻撃者がこの機密情報を傍受またはログに記録する可能性があります。暴露はエラーコンテキスト内の URL に限定されますが、メールアドレスの包含は、URL がサーバーログに保存されたり、転送中に傍受されたりする環境において、ユーザーのプライバシーリスクとなります。この脆弱性の重大度は、PII の開示の可能性と、比較的容易な悪用可能性に基づいています。

Organizations utilizing Plane for project management, particularly those with sensitive user data, are at risk. This includes teams relying on Plane for internal collaboration and those hosting Plane instances in shared environments where URL observation might be easier.

• nodejs / server:

find /opt/plane -path '*/packages/utils/src/auth.ts' -print

• generic web:

curl -I 'https://your-plane-instance/auth?magic_code=invalid' | grep Email

1. 2026-04-07Disclosure

   disclosure

1. 予約済み2026-02-25
2. 公開日2026-04-07
3. 更新日2026-04-08
4. EPSS 更新日2026-04-15

CVE-2026-27949 の解決策は、Plane をバージョン 1.3.0 以降にアップグレードすることです。このバージョンは、認証エラー処理中に URL にメールアドレスを含めることを削除することで、脆弱性を修正します。システム管理者と Plane ユーザーは、リスクを軽減するために、できるだけ早くインストールをアップグレードすることを強くお勧めします。さらに、サーバーログを調べて、URL にメールアドレスが露出しているかどうかを確認し、その情報を削除または匿名化する手順を実行することをお勧めします。堅牢なネットワークセキュリティポリシー（HTTPS 暗号化など）を実装することも、転送中のデータの機密性を保護するのに役立ちます。