漏洞总结:IDOR - 跨项目Issue日期修改 漏洞概述 漏洞名称: IDOR: Cross-Project Issue Date Modification via Bulk Update Endpoint (通过批量更新端点进行跨项目Issue日期修改) 漏洞类型: IDOR (CWE-639: 通过用户可控键绕过授权) CVSS评分: 6.5 (Medium) 受影响版本: Plane < 0.24.0 修复版本: 1.3.0 影响范围 攻击者权限: 任何具有 或 角色的认证用户。 攻击后果: 攻击者可以修改整个Plane实例中任何项目(无论是否属于攻击者所在的workspace)的Issue的 和 。 安全影响: 破坏了Workspace隔离这一关键的安全边界,可能导致项目计划混乱或时间线被操纵。 PoC (Proof of Concept) 修复方案 升级至 Plane 1.3.0 或更高版本。 根本原因修复: 在 查询中增加对 和 的约束,确保只能访问当前workspace/project下的issue。