Plataforma
nodejs
Componente
plane
Corrigido em
0.28.1
A vulnerabilidade CVE-2026-39843 é uma falha de Server-Side Request Forgery (SSRF) presente na ferramenta de gerenciamento de projetos open-source Plane. Essa falha permite que um atacante autenticado com privilégios baixos explore a função fetchandencode_favicon() para realizar requisições a endereços internos, potencialmente expondo informações sensíveis. A vulnerabilidade afeta versões de 0.28.0 até 1.2.9 e foi corrigida na versão 1.3.0.
Um atacante pode explorar essa vulnerabilidade fornecendo um link HTML com um atributo href que redireciona para um endereço IP privado. Apesar das validações na URL principal, a função fetchandencode_favicon() continua utilizando requests.get() com redirecionamento habilitado, permitindo o acesso a recursos internos. Isso pode resultar na exposição de dados confidenciais hospedados em servidores internos, como informações de configuração, credenciais ou até mesmo dados de usuários. O impacto potencial é alto, especialmente em ambientes onde a rede interna não é devidamente segmentada, permitindo o acesso a outros sistemas e dados sensíveis.
A vulnerabilidade foi divulgada em 2026-04-09. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração, portanto, a aplicação das medidas de mitigação é recomendada.
Organizations using Plane for project management, particularly those with internal services accessible via the network, are at risk. Environments with less stringent user permission controls and those relying on legacy configurations are especially vulnerable. Shared hosting environments where multiple users share the same Plane instance should also be considered at higher risk.
• nodejs: Monitor Plane application logs for requests to internal IP addresses. Use npm audit to check for known vulnerabilities in Plane dependencies.
npm audit plane• generic web: Examine access logs for requests originating from Plane with unusual or unexpected target URLs, especially those resolving to private IP addresses. Check response headers for signs of SSRF exploitation.
curl -I <plane_url>/<malicious_link>disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o Plane para a versão 1.3.0 ou superior, que corrige a falha de SSRF. Se a atualização imediata não for possível, considere implementar regras de firewall ou proxy para bloquear requisições para endereços IP internos a partir do servidor Plane. Além disso, revise e reforce as políticas de validação de entrada para garantir que links HTML maliciosos sejam filtrados antes de serem processados. Monitore logs de acesso e erro em busca de padrões suspeitos de requisições a endereços internos.
Atualize para a versão 1.3.0 ou superior para mitigar a vulnerabilidade de SSRF. Esta versão corrige a validação incorreta das URLs de favicon, evitando que um atacante possa realizar requisições a endereços IP privados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-39843 is a HIGH severity SSRF vulnerability affecting Plane versions 0.28.0 through 1.2.9. An attacker can exploit this by crafting a malicious link tag to access internal resources.
If you are running Plane version 0.28.0 or later, and before 1.3.0, you are potentially affected by this SSRF vulnerability. Assess your environment and upgrade as soon as possible.
The recommended fix is to upgrade Plane to version 1.3.0 or later. As a temporary workaround, implement a WAF rule to block requests to private IP addresses.
As of the current assessment, there is no evidence of active exploitation campaigns targeting CVE-2026-39843.
Refer to the official Plane project repository and release notes for the advisory related to CVE-2026-39843: [https://github.com/plane-project/plane](https://github.com/plane-project/plane)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.