【安全资讯】Plane项目管理工具修复严重SSRF漏洞 - CVE-2024-47830 (CVSS 9.3)

概要：

近期，Plane项目管理工具中发现并修复了一项严重的安全漏洞CVE-2024-47830，该漏洞的CVSS评分高达9.3。此漏洞可能被攻击者利用，导致未授权访问内部服务和敏感数据泄露，给用户带来重大风险。

主要内容：

该漏洞由安全研究员Sim4n6发现，源于Plane在图像处理配置中的设计缺陷。具体而言，web/next.config.js文件中的remotePatterns设置允许使用通配符，这使得攻击者能够诱使服务器向任意位置发起请求。通过向Plane的图像处理端点发送特定有效载荷，攻击者可以触发服务器向恶意主机发起GET请求，进而实现对内部服务的交互。

例如，攻击者可以利用以下URL触发该漏洞：

https://plane.so/_next/image?url=https%3A%2F%2F3dj9lr9c.c5.rs%2F%3F%23_next%2Fstatic%2Fmedia%2Fplane-logo-with-text.31443952.png&w=384&q=75。此请求将导致服务器发起意外请求，攻击者因此能够访问通常受保护的内部服务。

该漏洞的影响深远，攻击者可能获得未授权访问、敏感信息泄露、系统操控及端口扫描等能力。Plane开发团队已在v0.23版本中修复了此漏洞，强烈建议用户立即更新其安装版本，以确保系统安全。