InvoicePlane w wersji 1.6.11 i wcześniejszych zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE) poprzez metodę upload_file kontrolera Upload. Podatność nie wymaga uwierzytelnienia ani interakcji użytkownika, co czyni ją wyjątkowo niebezpieczną.
▸ Pokaż oryginał (EN)
InvoicePlane (all versions tested as of December 2024) v.1.6.11 and before contains a remote code execution vulnerability in the upload_file method of the Upload controller.
Błąd sklasyfikowany jako CWE-434 (Unrestricted Upload of File with Dangerous Type) polega na braku odpowiedniej weryfikacji typów przesyłanych plików w metodzie upload_file kontrolera Upload. Atakujący może przesłać złośliwy plik (np. skrypt PHP) na serwer przez sieć, bez konieczności posiadania konta ani interakcji ofiary. Po przesłaniu plik może zostać wykonany po stronie serwera, skutkując przejęciem kontroli nad systemem.
Atakujący uzyskuje możliwość zdalnego wykonania dowolnego kodu na serwerze (RCE), co może prowadzić do pełnego przejęcia systemu, kradzieży danych, instalacji backdoorów lub dalszego lateral movement w sieci.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (pull requesty #1127 oraz #1166 w repozytorium GitHub InvoicePlane). Zaleca się niezwłoczną aktualizację do wersji zawierającej poprawki oraz ograniczenie dostępu do funkcji przesyłania plików na poziomie firewall lub WAF do czasu wdrożenia patcha.
InvoicePlane w wersji 1.6.11 oraz wszystkich wcześniejszych wersjach (wszystkie wersje testowane do grudnia 2024 r.)
Podatność została zidentyfikowana i przetestowana we wszystkich wersjach dostępnych do grudnia 2024 r., co potwierdzono w opisie oryginalnym.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HInvoiceplane
APPInvoiceplane< 1.6.2
Powiązane podatności
Path traversal w InvoicePlane umożliwia odczyt dowolnych plików bez uwierzytelnienia
RCE w InvoicePlane 1.7.0 via LFI i Log Poisoning
RCE przez nieautoryzowany upload plików PHP w InvoicePlane
In InvoicePlane 1.5.11 a misconfigured web server allows unauthenticated directory listing and file download. ...
InvoicePlane version 1.4.10 is vulnerable to a Arbitrary File Upload resulting in an authenticated user can up...