Plane — это инструмент управления проектами с открытым исходным кодом. До версии 1.2.3 проверка URL-адреса веб-перехватчика в plane/app/serializers/webhook.py проверяет только ip.is_loopback, что позволяет злоумышленникам с ролью администратора рабочей области создавать веб-перехватчики, указывающие на адреса частной/внутренней сети (10.x.x.x, 172.16.x.x, 192.168.x.x, 169.254.169.254 и т. д.). Когда срабатывают события веб-перехватчика, сервер отправляет запросы на эти внутренние адреса и сохраняет ответ, что позволяет SSRF с полным обратным чтением ответа.
Эта проблема исправлена в версии 1.2.3.
Показать оригинальное описание (EN)
Plane is an an open-source project management tool. Prior to version 1.2.3, the webhook URL validation in plane/app/serializers/webhook.py only checks ip.is_loopback, allowing attackers with workspace ADMIN role to create webhooks pointing to private/internal network addresses (10.x.x.x, 172.16.x.x, 192.168.x.x, 169.254.169.254, etc.). When webhook events fire, the server makes requests to these internal addresses and stores the response — enabling SSRF with full response read-back. This issue has been patched in version 1.2.3.
Характеристики атаки
Последствия
Строка CVSS v3.1