Platform
nodejs
Component
plane
Opgelost in
1.3.1
CVE-2026-27949 affects Plane, an open-source project management tool. This vulnerability involves the exposure of a user's email address in the URL query parameters during authentication error handling, specifically when an invalid magic code is submitted. This constitutes a PII disclosure due to the insecure practice of transmitting sensitive information via GET requests. The vulnerability impacts versions 1.0.0 through 1.2.9 and is resolved in version 1.3.0.
CVE-2026-27949 treft Plane, een open-source projectmanagementtool, in versies vóór 1.3.0. De kwetsbaarheid zit in de authenticatie-workflow, waarbij het e-mailadres van een gebruiker als een queryparameter in de URL wordt opgenomen tijdens de foutafhandeling (bijvoorbeeld wanneer een ongeldige magic code wordt ingediend). Deze onveilige ontwerpkeuze, waarbij Persoonlijk Identificeerbare Informatie (PII) via GET-querystrings wordt verzonden, kan aanvallers in staat stellen deze gevoelige informatie te onderscheppen of te loggen. Hoewel de blootstelling beperkt is tot de URL binnen de foutcontext, vormt de opname van het e-mailadres een privacyrisico voor gebruikers, vooral in omgevingen waar URL's mogelijk worden opgeslagen in serverlogs of tijdens de verzending worden onderschept. De ernst van de kwetsbaarheid is gebaseerd op het potentieel voor PII-blootstelling en de relatieve gemakkelijke uitbuiting.
De kwetsbaarheid wordt uitgebuit door te proberen te authenticeren bij Plane met een ongeldige magic code. De resulterende fout bevat het e-mailadres van de gebruiker in de URL. Een aanvaller kan deze URL onderscheppen (bijvoorbeeld via een man-in-the-middle-aanval of door serverlogs te analyseren) om het e-mailadres te verkrijgen. Uitbuiting vereist geen voorafgaande authenticatie, maar vereist wel de mogelijkheid om netwerkverkeer te observeren of toegang te krijgen tot serverlogs. De waarschijnlijkheid van uitbuiting hangt af van de frequentie waarmee gebruikers proberen te authenticeren met ongeldige magic codes en de zichtbaarheid van de URL's in de omgeving.
Organizations utilizing Plane for project management, particularly those with sensitive user data, are at risk. This includes teams relying on Plane for internal collaboration and those hosting Plane instances in shared environments where URL observation might be easier.
• nodejs / server:
find /opt/plane -path '*/packages/utils/src/auth.ts' -print• generic web:
curl -I 'https://your-plane-instance/auth?magic_code=invalid' | grep Emaildisclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-27949 is om Plane te upgraden naar versie 1.3.0 of hoger. Deze versie corrigeert de kwetsbaarheid door de opname van het e-mailadres in URL's tijdens de foutafhandeling bij authenticatie te verwijderen. Systeembeheerders en Plane-gebruikers worden ten zeerste aangeraden hun installaties zo snel mogelijk te updaten om het risico te beperken. Daarnaast is het raadzaam om serverlogs te controleren op eventuele gevallen waarin het e-mailadres in URL's wordt weergegeven en stappen te ondernemen om deze informatie te verwijderen of te anonimiseren. Het implementeren van robuuste netwerkbeveiligingsbeleid, zoals HTTPS-encryptie, kan ook helpen de vertrouwelijkheid van gegevens tijdens de verzending te beschermen.
Actualice a la versión 1.3.0 o superior para evitar la exposición de la dirección de correo electrónico del usuario en la URL durante el manejo de errores. Esta actualización corrige la vulnerabilidad al evitar la inclusión de la dirección de correo electrónico en los parámetros de la URL.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-27949 is a vulnerability in Plane project management tool where email addresses are exposed in URLs during authentication errors, leading to potential PII disclosure.
Yes, if you are using Plane versions 1.0.0 through 1.2.9, you are affected by this vulnerability and should upgrade immediately.
Upgrade Plane to version 1.3.0 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround if upgrading isn't immediate.
As of the current date, there is no evidence of active exploitation of CVE-2026-27949, but the potential for exposure remains.
Refer to the official Plane project repository and release notes for details on CVE-2026-27949 and the corresponding fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.