HIGHCVE-2026-39843CVSS 7.7

Plane におけるサーバーサイドリクエストフォージェリ (SSRF) (Favicon Fetching)

Q: CVE-2026-39843 — SSRF in Plane プロジェクト管理ツールとは何ですか？

CVE-2026-39843は、Planeプロジェクト管理ツールバージョン0.28.0から1.2.9におけるServer-Side Request Forgery (SSRF)脆弱性です。攻撃者がfavicon fetchパスへのリダイレクトを悪用し、内部リソースにアクセスする可能性があります。

Q: CVE-2026-39843 in Plane プロジェクト管理ツールに影響を受けますか？

Planeプロジェクト管理ツールのバージョンが0.28.0から1.2.9のいずれかである場合、この脆弱性に影響を受ける可能性があります。バージョン1.3.0へのアップデートが必要です。

Q: CVE-2026-39843 in Plane プロジェクト管理ツールを修正するにはどうすればよいですか？

この脆弱性を修正するには、Planeをバージョン1.3.0にアップデートしてください。アップデートが困難な場合は、WAFやファイアウォールルールでfavicon fetchパスへのリクエストをブロックすることを検討してください。

Q: CVE-2026-39843は積極的に悪用されていますか？

現時点では、CVE-2026-39843を悪用した具体的な攻撃事例は報告されていませんが、SSRF脆弱性は比較的悪用が容易であり、今後の悪用が懸念されます。

Q: CVE-2026-39843に関するPlaneの公式アドバイザリはどこで入手できますか？

Planeプロジェクトの公式ウェブサイトまたはGitHubリポジトリで、CVE-2026-39843に関するアドバイザリを確認してください。

プラットフォーム

nodejs

コンポーネント

plane

修正版

0.28.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-39843は、オープンソースのプロジェクト管理ツールPlaneにおけるServer-Side Request Forgery (SSRF)脆弱性です。認証された攻撃者が、リンクタグのfavicon fetchパスへのリダイレクトを悪用することで、内部リソースへの不正アクセスを試みることが可能です。この脆弱性は、Planeのバージョン0.28.0から1.2.9までの環境に影響を与え、バージョン1.3.0で修正されています。

影響と攻撃シナリオ

このSSRF脆弱性を悪用されると、攻撃者はPlaneサーバーから内部ネットワーク上の機密情報にアクセスできる可能性があります。例えば、内部データベースやAPIエンドポイントへのアクセスを試み、認証情報を窃取したり、機密データを漏洩させたりする可能性があります。また、攻撃者はこの脆弱性を踏み台として、内部ネットワークへの侵入を試みることも考えられます。この脆弱性は、Planeのセキュリティを著しく損ない、機密情報の漏洩やシステムへの不正アクセスにつながる可能性があります。

悪用の状況

CVE-2026-39843は、2026年4月9日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、SSRF脆弱性は比較的悪用が容易であり、今後、攻撃者による悪用が懸念されます。CISAのKEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Organizations using Plane for project management, particularly those with internal services accessible via the network, are at risk. Environments with less stringent user permission controls and those relying on legacy configurations are especially vulnerable. Shared hosting environments where multiple users share the same Plane instance should also be considered at higher risk.

検出手順翻訳中…

• nodejs: Monitor Plane application logs for requests to internal IP addresses. Use npm audit to check for known vulnerabilities in Plane dependencies.

npm audit plane

• generic web: Examine access logs for requests originating from Plane with unusual or unexpected target URLs, especially those resolving to private IP addresses. Check response headers for signs of SSRF exploitation.

curl -I <plane_url>/<malicious_link>

攻撃タイムライン

2026-04-09Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (9% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントplane

ベンダーmakeplane

影響範囲修正版

>= 0.28.0, < 1.3.0 – >= 0.28.0, < 1.3.00.28.1

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2026-04-07
公開日2026-04-09
更新日2026-04-13
EPSS 更新日2026-04-17

緩和策と回避策

この脆弱性への対応として、まずはPlaneをバージョン1.3.0にアップデートすることを推奨します。アップデートが困難な場合は、WAF（Web Application Firewall）やリバースプロキシを設定し、favicon fetchパスへのリクエストをブロックするルールを適用することで、攻撃を軽減できます。また、内部ネットワークへのアクセスを制限するファイアウォールルールを強化し、不要なポートを閉じることで、攻撃の範囲を限定することも有効です。アップデート後、Planeのログを確認し、不正なリクエストがないか監視することで、脆弱性の悪用を早期に発見できます。

修正方法

バージョン 1.3.0 以降にアップデートすることで、SSRF の脆弱性を軽減してください。このバージョンでは、favicon の URL の誤った検証が修正され、攻撃者がプライベート IP アドレスへのリクエストを実行できなくなります。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-39843 — SSRF in Plane プロジェクト管理ツールとは何ですか？