Platform
nodejs
Component
plane
Opgelost in
0.28.1
CVE-2026-39843 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in Plane, een open-source projectmanagementtool. Deze kwetsbaarheid stelt een geauthenticeerde aanvaller met beperkte privileges in staat om een verzoek naar een interne bron uit te voeren. De kwetsbaarheid is van invloed op versies tussen 0.28.0 (inclusief) en 1.3.0 (exclusief). Een update naar versie 1.3.0 of hoger is vereist om deze kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan een aanvaller in staat stellen om toegang te krijgen tot interne bronnen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan gevoelige informatie blootleggen, zoals interne configuratiebestanden, database-inhoud of andere interne services. De aanvaller kan ook misbruik maken van de SSRF om andere interne systemen te scannen en te exploiteren, wat leidt tot verdere compromittering van de omgeving. Hoewel de aanvaller geauthenticeerd moet zijn, kan de lage privilege-vereiste de impact aanzienlijk vergroten, aangezien veel gebruikers in projectmanagementomgevingen beperkte rechten hebben.
Deze kwetsbaarheid werd openbaar gemaakt op 2026-04-09. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de SSRF-natuur ervan maakt het een aantrekkelijk doelwit voor aanvallers. Er zijn geen publieke proof-of-concept exploits bekend op het moment van schrijven. De CVSS-score van 7.7 (HIGH) duidt op een aanzienlijk risico.
Organizations using Plane for project management, particularly those with internal services accessible via the network, are at risk. Environments with less stringent user permission controls and those relying on legacy configurations are especially vulnerable. Shared hosting environments where multiple users share the same Plane instance should also be considered at higher risk.
• nodejs: Monitor Plane application logs for requests to internal IP addresses. Use npm audit to check for known vulnerabilities in Plane dependencies.
npm audit plane• generic web: Examine access logs for requests originating from Plane with unusual or unexpected target URLs, especially those resolving to private IP addresses. Check response headers for signs of SSRF exploitation.
curl -I <plane_url>/<malicious_link>disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-39843 is het upgraden naar Plane versie 1.3.0 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) of proxy die verzoeken naar interne IP-adressen blokkeert. Controleer ook de configuratie van Plane en zorg ervoor dat er geen onnodige toegang tot interne bronnen is toegestaan. Na de upgrade, bevestig de correcte werking van de applicatie en controleer de logs op verdachte activiteiten.
Werk bij naar versie 1.3.0 of hoger om de SSRF-vulnerability te mitigeren. Deze versie corrigeert de incorrecte validatie van favicon URLs, waardoor een aanvaller geen verzoeken naar private IP-adressen kan uitvoeren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-39843 is a HIGH severity SSRF vulnerability affecting Plane versions 0.28.0 through 1.2.9. An attacker can exploit this by crafting a malicious link tag to access internal resources.
If you are running Plane version 0.28.0 or later, and before 1.3.0, you are potentially affected by this SSRF vulnerability. Assess your environment and upgrade as soon as possible.
The recommended fix is to upgrade Plane to version 1.3.0 or later. As a temporary workaround, implement a WAF rule to block requests to private IP addresses.
As of the current assessment, there is no evidence of active exploitation campaigns targeting CVE-2026-39843.
Refer to the official Plane project repository and release notes for the advisory related to CVE-2026-39843: [https://github.com/plane-project/plane](https://github.com/plane-project/plane)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.