CVE-2026-27949Plane是一款开源的项目管理工具。在1.3.0版本之前,其身份验证流程存在设计缺陷。当用户提交无效的Magic Code触发错误处理时,系统会将用户的电子邮箱地址作为查询参数包含在URL中。这种通过GET请求传输个人身份信息(PII)的做法属于不安全设计,可能导致用户隐私信息泄露。该漏洞已在1.3.0版本中修复。
该漏洞位于Plane项目的身份验证工具模块中,具体受影响路径为 `packages/utils/src/auth.ts`。漏洞成因在于开发者错误地将敏感信息(用户邮箱)通过GET请求的查询字符串进行传输。在用户使用Magic Code进行登录验证时,如果发生错误(如输入无效代码),服务端会将包含邮箱的URL返回给客户端或进行重定向。由于GET请求的URL会被完整记录在浏览器历史、代理服务器日志以及Web服务器访问日志中,这使得攻击者能够轻易获取用户的邮箱地址。虽然CVSS评分仅为2.0(低危),但这直接违反了安全编码规范,增加了隐私泄露的风险。