CVE-2026-30242

Nome do Software Vulnerável e Versões Afetadas Versões do Plane anteriores a 1.2.3

Descrição A validação da URL do webhook em plane/app/serializers/webhook.py verifica apenas se o endereço IP é de loopback, permitindo que atacantes com a função ADMIN do workspace criem webhooks direcionados a endereços de rede privados ou internos, como 10.x.x.x, 172.16.x.x, 192.168.x.x e 169.254.169.254. Quando eventos de webhook são acionados, o servidor envia solicitações para esses endereços internos e armazena a resposta, possibilitando um Server-Side Request Forgery (SSRF) com leitura completa da resposta. Isso pode levar à exfiltração de metadados da nuvem, varredura de serviços internos e exfiltração de dados por meio dos logs de resposta.

Recomendações Versões anteriores a 1.2.3 devem ser atualizadas para a versão 1.2.3 ou posterior.