W aplikacji InvoicePlane w wersjach do 1.6.3 włącznie istnieje podatność path traversal w metodzie `get_file` kontrolera `Get` modułu `Guest`. Nieuprawniony atakujący może odczytać dowolne pliki na serwerze bez konieczności logowania się do systemu.
▸ Pokaż oryginał (EN)
InvoicePlane is a self-hosted open source application for managing invoices, clients, and payments. A path traversal vulnerability exists in the `get_file` method of the `Guest` module's `Get` controller in InvoicePlane up to and including through 1.6.3. The vulnerability allows unauthenticated attackers to read arbitrary files on the server by manipulating the input filename. This leads to the disclosure of sensitive information, including configuration files with database credentials. Version 1.6.4 fixes the issue.
Podatność wynika z braku odpowiedniej walidacji nazwy pliku przekazywanej do metody `get_file` w module obsługiwanym przez nieuautentykowanych użytkowników (moduł `Guest`). Manipulując parametrem wejściowym nazwy pliku — np. stosując sekwencje `../` — atakujący może wyjść poza dozwolony katalog i wskazać dowolny plik w systemie plików serwera. Ponieważ podatny endpoint jest dostępny bez uwierzytelnienia, exploit nie wymaga posiadania żadnych poświadczeń ani uprawnień w aplikacji.
Atakujący może odczytać dowolne pliki na serwerze, w tym pliki konfiguracyjne zawierające dane uwierzytelniające do bazy danych, co może prowadzić do dalszego przejęcia infrastruktury. W przypadku wycieku poświadczeń możliwe jest eskalowanie ataku na inne komponenty systemu.
Należy zaktualizować InvoicePlane do wersji 1.6.4, która zawiera poprawkę eliminującą podatność. Szczegóły poprawki dostępne są w repozytorium projektu na GitHub (commit add8bb798dde621f886823065ef1841986543c69).
InvoicePlane w wersjach do 1.6.3 włącznie
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XInvoiceplane
APPInvoiceplane< 1.6.4
Powiązane podatności
RCE w InvoicePlane 1.7.0 via LFI i Log Poisoning
RCE przez nieautoryzowany upload plików PHP w InvoicePlane
RCE w InvoicePlane — niebezpieczne przesyłanie plików (upload_file)
In InvoicePlane 1.5.11 a misconfigured web server allows unauthenticated directory listing and file download. ...
InvoicePlane version 1.4.10 is vulnerable to a Arbitrary File Upload resulting in an authenticated user can up...