Vulnerabilidad en Plane (CVE-2025-55203)

Plane es un software de gestión de proyectos de código abierto. Antes de la versión 0.28.0, existía una vulnerabilidad de cross site scripting (XSS) almacenado en el campo description_html de Plane. Esta falla permite a un atacante inyectar código JavaScript malicioso que se almacena y posteriormente se ejecuta en los navegadores de otros usuarios. El campo description_html no se depura ni escapa correctamente. Un atacante puede enviar payloads de JavaScript manipulados que se guardan en la base de datos de la aplicación. Cuando otro usuario visualiza el contenido afectado, el código inyectado se ejecuta en su navegador, ejecutándose en el contexto de la aplicación y evadiendo las protecciones de seguridad estándar. Una explotación exitosa puede provocar el secuestro de sesión, el robo de información confidencial o la redirección forzada a sitios maliciosos. La vulnerabilidad también puede combinarse con ataques CSRF para realizar acciones no autorizadas o aprovecharse para distribuir malware y explotar vulnerabilidades adicionales del navegador. Este problema se ha corregido en la versión 0.28.0.