CVE-2026-25548
KrytyczneStreszczenie
W aplikacji InvoicePlane w wersji 1.7.0 występuje krytyczna podatność na zdalne wykonanie kodu (RCE) wynikająca z połączonego ataku Local File Inclusion (LFI) i Log Poisoning. Uwierzytelniony administrator może wykonać dowolne polecenia systemowe na serwerze, manipulując ustawieniem `public_invoice_template`, aby dołączyć zainfekowane pliki dziennika zawierające kod PHP.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa serwera, umożliwiając atakującemu wykonanie dowolnych poleceń systemowych. Może to prowadzić do przejęcia kontroli nad systemem oraz wycieku danych.
Rekomendacja
Zaleca się aktualizację do wersji 1.7.1, która naprawia tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń oraz monitorować logi w celu wykrycia potencjalnych prób ataków.
Oryginalny opis (angielski, źródło NVD)
InvoicePlane is a self-hosted open source application for managing invoices, clients, and payments. A critical Remote Code Execution (RCE) vulnerability exists in InvoicePlane 1.7.0 through a chained Local File Inclusion (LFI) and Log Poisoning attack. An authenticated administrator can execute arbitrary system commands on the server by manipulating the `public_invoice_template` setting to include poisoned log files containing PHP code. Version 1.7.1 patches the issue.

