CVE-2026-30244

Nome do Software Vulnerável e Versões Afetadas Versões do Plane anteriores a 1.2.2

Descrição Existe um problema no Plane que permite que atacantes não autenticados enumerem membros do workspace e extraiam informações sensíveis, incluindo endereços de e-mail, funções dos usuários e identificadores internos. Isso se deve a classes de permissão do Django REST Framework configuradas incorretamente, permitindo acesso anônimo a endpoints protegidos. Atacantes podem enumerar todos os membros de qualquer workspace sem autenticação, extrair endereços de e-mail e informações pessoais identificáveis dos usuários, identificar contas administrativas, mapear a estrutura organizacional e realizar reconhecimento para ataques de engenharia social. Os endpoints de API afetados são: /api/public/workspaces/{workspace slug}/members/ e /api/public/workspaces/{workspace slug}/projects/{project id}/members/. O parâmetro vulnerável é workspace slug.

Recomendações Atualize para a versão 1.2.2 ou posterior.