CVE-2026-39374Plane是一款开源项目管理工具。在1.3.0版本之前,其IssueBulkUpdateDateEndpoint接口存在严重的权限校验缺失漏洞。已认证的项目成员(包括管理员和普通成员)可利用该接口,在不检查工作区或项目归属的情况下,直接通过问题ID修改全实例内任意问题的起始日期和目标日期。此漏洞导致攻击者可越权篡改非授权项目的数据,严重影响系统完整性。
该漏洞的根源在于Plane后端对IssueBulkUpdateDateEndpoint的处理逻辑存在缺陷。当该端点接收到更新请求时,仅验证了请求者是否为登录用户及其在当前上下文中的成员身份,却未对目标问题(Issue)的所属工作区和项目进行严格的归属校验。具体而言,API直接根据请求体中的Issue ID从数据库中检索对象,而未验证当前用户是否有权访问该ID对应的资源。这构成了典型的IDOR(不安全的直接对象引用)漏洞。攻击者只需遍历或猜测其他项目的Issue ID,并发送特制的HTTP PUT/POST请求,即可修改任意Issue的时间字段。由于CVSS向量显示完整性影响为高,且无需用户交互,该漏洞易于利用,攻击者可借此破坏项目排期、扰乱业务流程或进行数据破坏。