Plane — это инструмент управления проектами с открытым исходным кодом. До версии 1.2.2 злоумышленники, не прошедшие проверку подлинности, могли пересчитывать участников рабочей области и извлекать конфиденциальную информацию, включая адреса электронной почты, роли пользователей и внутренние идентификаторы. Уязвимость связана с тем, что классы разрешений Django REST Framework неправильно настроены для обеспечения анонимного доступа к защищенным конечным точкам.
Эта проблема исправлена в версии 1.2.2.
Показать оригинальное описание (EN)
Plane is an an open-source project management tool. Prior to version 1.2.2, unauthenticated attackers can enumerate workspace members and extract sensitive information including email addresses, user roles, and internal identifiers. The vulnerability stems from Django REST Framework permission classes being incorrectly configured to allow anonymous access to protected endpoints. This issue has been patched in version 1.2.2.
Характеристики атаки
Последствия
Строка CVSS v3.1