Plataforma
python
Componente
plane
Corrigido em
1.2.4
1.2.3
A vulnerabilidade CVE-2026-30242 é uma falha de SSRF (Server-Side Request Forgery) identificada no componente 'plane', especificamente na validação de URLs de webhook. Atacantes com privilégios de administrador podem explorar essa falha para direcionar requisições para endereços internos e privados, permitindo a leitura de respostas e, potencialmente, a exfiltração de dados sensíveis. A vulnerabilidade afeta versões do Plane até a 0.2.1 e foi corrigida na versão 1.2.3.
O impacto da vulnerabilidade CVE-2026-30242 é significativo, permitindo que um atacante com acesso de administrador em Plane explore a falha para realizar diversas ações maliciosas. A principal consequência é a exfiltração de metadados de instâncias em nuvem, como AWS, GCP ou Azure, expondo credenciais IAM, tokens e outras informações confidenciais. Além disso, o atacante pode realizar varreduras internas na rede, mapeando serviços e identificando outros alvos potenciais. A leitura das respostas das requisições internas pode revelar informações sensíveis armazenadas nesses serviços, ampliando o escopo do ataque.
A vulnerabilidade CVE-2026-30242 foi divulgada em 2026-03-05. Não há informações disponíveis sobre a inclusão em KEV ou a existência de um EPSS score. Atualmente, não há um Proof of Concept (PoC) público amplamente divulgado, mas a natureza da vulnerabilidade SSRF a torna potencialmente explorável. É importante monitorar a situação e aplicar as medidas de mitigação recomendadas.
Organizations using Plane for workspace management, particularly those relying on cloud-based infrastructure (AWS, GCP, Azure), are at significant risk. Environments with overly permissive administrator roles or lacking network segmentation are especially vulnerable. Shared hosting environments where multiple users share a Plane instance could also be affected.
• linux / server:
journalctl -u plane | grep -i "webhook url validation"• python / application:
Inspect the plane/app/serializers/webhook.py file for the vulnerable URL validation logic. Look for instances where ip.is_loopback is the sole check.
• generic web:
Check Plane's webhook endpoint for unexpected responses when sending requests to internal IP addresses. Use curl to test:
curl -v http://<plane_server>/webhooks/<your_webhook_id> --data 'url=http://10.0.0.1'disclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
A mitigação imediata para CVE-2026-30242 envolve a atualização para a versão 1.2.3 do Plane, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias. Restringir o acesso de administrador a usuários confiáveis é crucial. Implementar regras de firewall para bloquear o acesso de rede externo aos serviços internos pode reduzir o impacto da exploração. Monitore os logs do Plane em busca de requisições suspeitas para endereços internos. A validação rigorosa das URLs de webhook, mesmo em versões anteriores, pode ajudar a mitigar o risco, embora não seja uma solução completa.
Atualize a versão do Plane para 1.2.3 ou superior. Esta versão contém uma correção para a validação incompleta de endereços IP em URLs de webhook, prevenindo ataques SSRF.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-30242 is a HIGH severity SSRF vulnerability in Plane versions up to 0.2.1, allowing attackers with ADMIN roles to exfiltrate cloud metadata and scan internal networks.
If you are using Plane version 0.2.1 or earlier, you are potentially affected by this SSRF vulnerability. Upgrade to 1.2.3 or later to mitigate the risk.
The recommended fix is to upgrade Plane to version 1.2.3 or later. As a temporary workaround, restrict network access and implement WAF rules.
There is currently no confirmed evidence of active exploitation of CVE-2026-30242, but the vulnerability's nature makes it a potential target.
Refer to the official Plane security advisory for detailed information and updates regarding CVE-2026-30242. (Link to advisory would be here if available)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.