Platform
python
Component
plane
Opgelost in
1.2.4
1.2.3
CVE-2026-30242 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in Plane, een workspace management tool. Deze kwetsbaarheid stelt aanvallers met de rol van ADMIN in staat om webhooks te configureren die naar interne netwerkadressen wijzen. Hierdoor kunnen gevoelige gegevens, zoals cloud metadata, worden gestolen en interne services gescand. De kwetsbaarheid treft versies van Plane tot en met 0.2.1, en een fix is beschikbaar in versie 1.2.3.
De impact van deze SSRF-kwetsbaarheid is aanzienlijk. Een succesvolle exploitatie kan leiden tot de exfiltratie van cloud metadata, inclusief IAM-credentials en tokens van AWS, GCP en Azure instanties. Daarnaast kan de aanvaller interne netwerken scannen om kwetsbare services te identificeren. Dit kan leiden tot verdere inbreuken en compromittering van de infrastructuur. Het is vergelijkbaar met scenario's waarbij interne services onbedoeld worden blootgesteld via webhooks, waardoor gevoelige informatie direct toegankelijk wordt voor externe aanvallers. De mogelijkheid om interne netwerken te scannen vergroot de aanvalsoppervlakte aanzienlijk.
Deze kwetsbaarheid is openbaar gemaakt op 5 maart 2026. Er zijn momenteel geen publieke proof-of-concept exploits bekend, maar de SSRF aard van de kwetsbaarheid maakt het potentieel voor exploitatie aanzienlijk. De CVSS score van 8.5 (HIGH) duidt op een relatief hoge waarschijnlijkheid van exploitatie. Het is aan te raden om deze kwetsbaarheid serieus te nemen en zo snel mogelijk te mitigeren.
Organizations using Plane for workspace management, particularly those relying on cloud-based infrastructure (AWS, GCP, Azure), are at significant risk. Environments with overly permissive administrator roles or lacking network segmentation are especially vulnerable. Shared hosting environments where multiple users share a Plane instance could also be affected.
• linux / server:
journalctl -u plane | grep -i "webhook url validation"• python / application:
Inspect the plane/app/serializers/webhook.py file for the vulnerable URL validation logic. Look for instances where ip.is_loopback is the sole check.
• generic web:
Check Plane's webhook endpoint for unexpected responses when sending requests to internal IP addresses. Use curl to test:
curl -v http://<plane_server>/webhooks/<your_webhook_id> --data 'url=http://10.0.0.1'disclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 1.2.3 van Plane, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) of proxy die requests naar interne IP-adressen blokkeert. Controleer de webhook configuraties in uw Plane omgeving om te verzekeren dat ze niet naar interne netwerken wijzen. Implementeer logging en monitoring om verdachte webhook activiteiten te detecteren. Zoek naar ongebruikelijke requests naar interne IP-adressen. Na de upgrade, verifieer de fix door een webhook te creëren die naar een intern adres wijst en controleer of de request wordt geblokkeerd.
Actualiseer de versie van Plane naar 1.2.3 of hoger. Deze versie bevat een correctie voor de onvolledige IP adres validatie in webhook URLs, waardoor SSRF aanvallen worden voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-30242 is a HIGH severity SSRF vulnerability in Plane versions up to 0.2.1, allowing attackers with ADMIN roles to exfiltrate cloud metadata and scan internal networks.
If you are using Plane version 0.2.1 or earlier, you are potentially affected by this SSRF vulnerability. Upgrade to 1.2.3 or later to mitigate the risk.
The recommended fix is to upgrade Plane to version 1.2.3 or later. As a temporary workaround, restrict network access and implement WAF rules.
There is currently no confirmed evidence of active exploitation of CVE-2026-30242, but the vulnerability's nature makes it a potential target.
Refer to the official Plane security advisory for detailed information and updates regarding CVE-2026-30242. (Link to advisory would be here if available)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.