概要
Plane は オープンソース の プロジェクト管理 ツール です。本 脆弱性 に より、未認証 の 攻撃者 が ワークスペース の メンバー情報 を 列挙 し、メールアドレス を 取得 する こと が 可能 です。
CWE-200(Exposure of Sensitive Information)および CWE-284(Improper Access Control)に 分類 される この 問題 は、API エンドポイント の アクセス制御 が 不十分 で ある こと に 起因 します。漏洩 した メールアドレス は フィッシング 攻撃 や ソーシャルエンジニアリング に 悪用 される 恐れ が あります。
Plane を セルフホスト して いる 環境 で は、速やか に 修正 バージョン へ の アップデート が 推奨 されます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.5 |
| 深刻度 | High |
| CWE | CWE-200 (機密情報の露出) / CWE-284 (不適切なアクセス制御) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Plane | makeplane | 影響バージョンはアドバイザリを参照 |
修正バージョンと回避策
- 修正バージョン: Plane の 最新 バージョン へ アップデート
- 暫定回避策: リバースプロキシ で 該当 API エンドポイント へ の 未認証 アクセス を ブロック する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。