CVE-2025-55203

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-55203
Plane is open-source project management software. Prior to version 0.28.0, a stored cross-site scripting (XSS) vulnerability exists in the description_html field of Plane. This flaw allows an attacker to inject malicious JavaScript code that is stored and later executed in other users’ browsers. The description_html field is not properly sanitized or escaped. An attacker can submit crafted JavaScript payloads that are saved in the application’s database. When another user views the affected content, the injected code executes in their browser, running in the application’s context and bypassing standard security protections. Successful exploitation can lead to session hijacking, theft of sensitive information, or forced redirection to malicious sites. The vulnerability can also be chained with CSRF attacks to perform unauthorized actions, or leveraged to distribute malware and exploit additional browser vulnerabilities. This issue has been patched in version 0.28.0.

5.4 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.3 / Impact : 2.7

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction REQUIRED

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact NONE

Scope CHANGED

References
Link Resource
https://drive.google.com/file/d/1lQzQJ9Eun6xmcxyyAkr5ORyIrfw9ys5w/view?usp=sharing
https://github.com/makeplane/plane/security/advisories/GHSA-rwjc-xhh3-m9m9
Configurations

No configuration.

History

18 Aug 2025, 20:16

Type Values Removed Values Added
Summary
  • (es) Plane es un software de gestión de proyectos de código abierto. Antes de la versión 0.28.0, existía una vulnerabilidad de cross site scripting (XSS) almacenado en el campo description_html de Plane. Esta falla permite a un atacante inyectar código JavaScript malicioso que se almacena y posteriormente se ejecuta en los navegadores de otros usuarios. El campo description_html no se depura ni escapa correctamente. Un atacante puede enviar payloads de JavaScript manipuladas que se guardan en la base de datos de la aplicación. Cuando otro usuario visualiza el contenido afectado, el código inyectado se ejecuta en su navegador, ejecutándose en el contexto de la aplicación y evadiendo las protecciones de seguridad estándar. Una explotación exitosa puede provocar el secuestro de sesión, el robo de información confidencial o la redirección forzada a sitios maliciosos. La vulnerabilidad también puede combinarse con ataques CSRF para realizar acciones no autorizadas o aprovecharse para distribuir malware y explotar vulnerabilidades adicionales del navegador. Este problema se ha corregido en la versión 0.28.0.

15 Aug 2025, 15:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-08-15 15:15

Updated : 2025-08-18 20:16

NVD link : CVE-2025-55203

Mitre link : CVE-2025-55203

CVE.ORG link : CVE-2025-55203

JSON object : View

Products Affected

No product.

CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')