平台
python
组件
plane
修复版本
1.2.4
1.2.3
CVE-2026-30242 是 Plane 应用中发现的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许具有工作区管理员权限的攻击者创建指向私有/内部网络地址的 webhook,从而导致敏感信息泄露。受影响的版本包括 Plane ≤0.2.1。建议升级至 1.2.3 版本以修复此漏洞。
该 SSRF 漏洞的影响非常严重。攻击者可以利用此漏洞访问云元数据,例如 AWS/GCP/Azure 实例的 IAM 凭证和令牌。此外,攻击者还可以扫描内部网络,发现潜在的攻击面。攻击者可以通过创建指向内部服务的 webhook,并读取服务器响应来执行这些操作。这种攻击模式类似于其他 SSRF 漏洞,可能导致数据泄露和未经授权的访问。
该漏洞已于 2026 年 3 月 5 日公开披露。目前尚无公开的 PoC 代码,但由于漏洞的严重性和易于利用性,存在被利用的风险。该漏洞尚未被添加到 CISA KEV 目录,但应密切关注其动态。
Organizations using Plane for workspace management, particularly those relying on cloud-based infrastructure (AWS, GCP, Azure), are at significant risk. Environments with overly permissive administrator roles or lacking network segmentation are especially vulnerable. Shared hosting environments where multiple users share a Plane instance could also be affected.
• linux / server:
journalctl -u plane | grep -i "webhook url validation"• python / application:
Inspect the plane/app/serializers/webhook.py file for the vulnerable URL validation logic. Look for instances where ip.is_loopback is the sole check.
• generic web:
Check Plane's webhook endpoint for unexpected responses when sending requests to internal IP addresses. Use curl to test:
curl -v http://<plane_server>/webhooks/<your_webhook_id> --data 'url=http://10.0.0.1'disclosure
漏洞利用状态
EPSS
0.01% (1% 百分位)
CISA SSVC
为了缓解 CVE-2026-30242 的影响,建议立即升级至 Plane 1.2.3 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 webhook 的来源,并实施严格的网络访问控制策略。监控 webhook 事件,并检测任何异常活动。如果可能,使用 Web 应用防火墙 (WAF) 过滤对内部资源的请求。升级后,请验证 webhook 配置,确保它们仅指向受信任的外部地址。
将 Plane 版本升级到 1.2.3 或更高版本。此版本包含对 webhook URL 中不完整 IP 验证的修复,可防止 SSRF 攻击。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-30242 是 Plane 应用在 0.2.1 及更早版本中发现的服务器端请求伪造 (SSRF) 漏洞,允许攻击者利用内部网络。
如果您正在使用 Plane 应用的版本低于 1.2.3,则可能受到此漏洞的影响。请立即检查您的版本并升级。
建议升级至 Plane 1.2.3 或更高版本以修复此漏洞。如果无法升级,请实施临时缓解措施,例如限制 webhook 来源。
虽然目前尚无公开的 PoC 代码,但由于漏洞的严重性和易于利用性,存在被利用的风险。
请查阅 Plane 官方安全公告,以获取有关此漏洞的更多详细信息和修复指南。
CVSS 向量
上传你的 requirements.txt 文件,立即知道是否受影响。