CVE-2026-25548
CriticalSummary
W aplikacji InvoicePlane w wersji 1.7.0 występuje krytyczna podatność na zdalne wykonanie kodu (RCE) wynikająca z połączonego ataku Local File Inclusion (LFI) i Log Poisoning. Uwierzytelniony administrator może wykonać dowolne polecenia systemowe na serwerze, manipulując ustawieniem `public_invoice_template`, aby dołączyć zainfekowane pliki dziennika zawierające kod PHP.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa serwera, umożliwiając atakującemu wykonanie dowolnych poleceń systemowych. Może to prowadzić do przejęcia kontroli nad systemem oraz wycieku danych.
Recommendation
Zaleca się aktualizację do wersji 1.7.1, która naprawia tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń oraz monitorować logi w celu wykrycia potencjalnych prób ataków.
Original NVD description (English source)
InvoicePlane is a self-hosted open source application for managing invoices, clients, and payments. A critical Remote Code Execution (RCE) vulnerability exists in InvoicePlane 1.7.0 through a chained Local File Inclusion (LFI) and Log Poisoning attack. An authenticated administrator can execute arbitrary system commands on the server by manipulating the `public_invoice_template` setting to include poisoned log files containing PHP code. Version 1.7.1 patches the issue.

