CVE-2026-27705

Nome do Software Vulnerável e Versões Afetadas Versões do Plane anteriores a 1.2.2

Descrição O Plane é uma ferramenta de gerenciamento de projetos de código aberto. O método ProjectAssetEndpoint.patch() em apps/api/plane/app/views/asset/v2.py (linhas 579–593) realiza uma busca global de ativos utilizando apenas o ID do ativo (pk) por meio de FileAsset.objects.get(id=pk), sem verificar se o ativo pertence ao workspace e projeto especificados. Isso permite que qualquer usuário autenticado, incluindo aqueles com a função GUEST, modifique os atributos attributes e o status is uploaded de ativos pertencentes a qualquer workspace ou projeto dentro da instância do Plane, adivinhando ou enumerando UUIDs de ativos.

Recomendações Atualize para a versão 1.2.2 ou posterior.