概要
プロジェクト管理ツール Plane の Webhook URL バリデーションに、SSRF(Server-Side Request Forgery)の脆弱性が存在します。Webhook 送信先 URL の検証がループバックアドレス(127.0.0.1, ::1)のみを対象としているため、プライベートネットワーク(10.x.x.x, 172.16.x.x, 192.168.x.x 等)への SSRF が可能です。
攻撃者はこの脆弱性を悪用して、内部ネットワーク上のサービスへのリクエストを発行し、メタデータサービスやイントラネットリソースへの不正アクセスを行うリスクがあります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.5 |
| 深刻度 | High |
| CWE | CWE-918 (サーバサイドリクエストフォージェリ) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Plane | makeplane | 不明(修正バージョン未公表) |
修正バージョンと回避策
- 修正バージョン: 未公表
- 暫定回避策: Webhook 送信先をホワイトリスト方式で管理する、またはネットワークレベルで内部ネットワークへのアウトバウンドを制限する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。