CVE-2026-40102 in plane
要約
〜によって VulDB • 2026年05月21日
Planeはオープンソースのプロジェクト管理ツールです。バージョン1.3.0およびそれ以前のバージョンでは、SavedAnalyticEndpointは、ユーザーが制御可能なsegmentクエリパラメータを、検証を行わずにDjangoのF()式に直接渡します(通常のAnalyticsEndpointは許可リストに対してチェックを行うのとは対照的です)。これにより、ORMフィールド参照インジェクションが発生します。認証済みワークスペースのメンバーは、build_graph_plot()に渡され、.values("dimension", "segment")経由で投影される前に外部キー関係(例:workspace__owner__password)をたどるような、改ざんされたsegment値を含むGET /api/workspaces//saved-analytic-view//を送信できます。これにより、JSONレスポンス内で参照されたフィールド値が直接返され、bcryptパスワードハッシュ、APIトークン、関連ユーザーのメールアドレスなどの機密データが露出します。これは、値がソート処理を通じてのみ漏洩する関連のorder_byインジェクションよりも強力なプリミティブとなります。この問題はバージョン1.3.1で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.