CRITICAL🇬🇧 English

CVE-2026-25548

RCE w InvoicePlane 1.7.0 via LFI i Log Poisoning

CVSS 9.1v3.1pub. 2026-02-18upd. 2026-02-20

W InvoicePlane 1.7.0 istnieje krytyczna podatność umożliwiająca zdalne wykonanie kodu (RCE) poprzez połączenie ataku Local File Inclusion (LFI) z techniką Log Poisoning. Zagrożenie jest poważne, ponieważ pozwala uwierzytelnionemu administratorowi na wykonanie dowolnych poleceń systemowych na serwerze.

Pokaż oryginał (EN)

InvoicePlane is a self-hosted open source application for managing invoices, clients, and payments. A critical Remote Code Execution (RCE) vulnerability exists in InvoicePlane 1.7.0 through a chained Local File Inclusion (LFI) and Log Poisoning attack. An authenticated administrator can execute arbitrary system commands on the server by manipulating the `public_invoice_template` setting to include poisoned log files containing PHP code. Version 1.7.1 patches the issue.

🤖 Analiza AI
Jak działa

Atak polega na łańcuchu dwóch technik: najpierw atakujący zatruwa pliki dziennika (log poisoning) poprzez wstrzyknięcie do nich złośliwego kodu PHP, a następnie wymusza załadowanie tych plików przez aplikację. Możliwe jest to dzięki manipulacji ustawieniem `public_invoice_template`, które kontroluje ścieżkę szablonu faktury — aplikacja nie waliduje poprawnie tej wartości (CWE-98), co prowadzi do Local File Inclusion zatrutego logu i wykonania osadzonego w nim kodu PHP (CWE-94). Dodatkowym problemem jest niewystarczające sanityzowanie danych zapisywanych do logów (CWE-117), co umożliwia skuteczne zatrucie pliku dziennika.

Skutki

Uwierzytelniony administrator może wykonać dowolne polecenia systemowe na serwerze, co w praktyce oznacza pełne przejęcie kontroli nad systemem, możliwość kradzieży danych, instalacji backdoorów lub dalszego lateral movement w infrastrukturze.

Mitygacja

Należy zaktualizować InvoicePlane do wersji 1.7.1, która zawiera poprawkę dla opisanej podatności. Szczegóły patcha dostępne są w repozytorium GitHub projektu (commit 93622f2df88a860d89bfee56012cabb2942061d6) oraz w oficjalnym security advisory GHSA-g6rw-m9mf-33ch.

Kogo dotyczy

InvoicePlane w wersji 1.7.0

Uwagi

Podatność wymaga uwierzytelnienia na poziomie administratora, co ogranicza powierzchnię ataku. Niemniej jednak w środowiskach, gdzie dostęp administracyjny jest współdzielony lub słabo chroniony, ryzyko realnego wykorzystania jest wysokie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Invoiceplane

    APP
    Invoiceplane
    < 1.7.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-23491CRITICAL9.3PL ✓ten sam produkt

Path traversal w InvoicePlane umożliwia odczyt dowolnych plików bez uwierzytelnienia

CVE-2025-67084CRITICAL9.9PL ✓ten sam produkt

RCE przez nieautoryzowany upload plików PHP w InvoicePlane

CVE-2024-56975CRITICAL9.8PL ✓ten sam produkt

RCE w InvoicePlane — niebezpieczne przesyłanie plików (upload_file)

CVE-2021-29024HIGH7.5ten sam produkt

In InvoicePlane 1.5.11 a misconfigured web server allows unauthenticated directory listing and file download. ...

CVE-2017-1000238HIGH8.8ten sam produkt

InvoicePlane version 1.4.10 is vulnerable to a Arbitrary File Upload resulting in an authenticated user can up...