Plataforma
php
Componente
invoiceplane
Corregido en
1.7.1
Se ha descubierto una vulnerabilidad de Ejecución Remota de Código (RCE) crítica en InvoicePlane, una aplicación de código abierto para la gestión de facturas. Esta vulnerabilidad, presente en las versiones 1.7.0 y anteriores, permite a un administrador autenticado ejecutar comandos arbitrarios en el servidor mediante una combinación de Inclusión de Archivos Locales (LFI) y Envenenamiento de Logs. La versión 1.7.1 incluye una corrección para esta vulnerabilidad.
Un atacante con privilegios de administrador en InvoicePlane puede explotar esta vulnerabilidad para ejecutar código malicioso en el servidor. Esto podría resultar en la toma de control completa del sistema, robo de datos confidenciales (información de clientes, facturas, datos financieros), modificación de datos, o incluso la interrupción del servicio. La cadena de ataque implica manipular la configuración publicinvoicetemplate para incluir archivos de registro envenenados con código PHP, que luego se ejecutan al procesar la plantilla de factura. La severidad de esta vulnerabilidad es alta debido a la facilidad de explotación y el potencial impacto en la confidencialidad, integridad y disponibilidad del sistema.
Esta vulnerabilidad ha sido publicada públicamente el 18 de febrero de 2026. No se ha reportado su inclusión en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de esta redacción. La probabilidad de explotación se considera media debido a la disponibilidad de la información técnica y la relativa facilidad de explotación, aunque requiere privilegios de administrador. Se recomienda monitorear la actividad en los sistemas InvoicePlane para detectar posibles intentos de explotación.
Organizations using InvoicePlane for invoice management, particularly those with self-hosted deployments and administrator accounts that are not adequately secured, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromise of one user's InvoicePlane installation could potentially affect others.
• linux / server:
journalctl -u invoiceplane | grep -i "php code injection"• generic web:
curl -I http://your-invoiceplane-server.com/public_invoice_template | grep -i "Content-Type: text/plain"• php: Check the InvoicePlane configuration files for any unusual or unexpected entries in the publicinvoicetemplate setting. Look for suspicious file paths or attempts to include external files.
disclosure
Estado del Exploit
EPSS
0.14% (34% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar InvoicePlane a la versión 1.7.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la configuración publicinvoicetemplate y monitorear los archivos de registro en busca de actividad sospechosa. Implementar un Web Application Firewall (WAF) con reglas para bloquear intentos de inclusión de archivos locales puede proporcionar una capa adicional de protección. Verifique que la configuración de PHP tenga habilitadas las restricciones de inclusión de archivos (por ejemplo, openbasedir y disablefunctions). Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que la configuración publicinvoicetemplate no permita la inclusión de archivos externos.
Actualice InvoicePlane a la versión 1.7.1 o superior. Esta versión corrige la vulnerabilidad de ejecución remota de código. La actualización se puede realizar descargando la última versión desde el sitio web oficial o utilizando el sistema de actualización integrado, si está disponible.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25548 is a critical Remote Code Execution vulnerability in InvoicePlane versions 1.7.0 and earlier, allowing an authenticated admin to execute system commands via a chained LFI/Log Poisoning attack.
Yes, if you are running InvoicePlane version 1.7.0 or earlier, you are affected by this vulnerability. Upgrade to version 1.7.1 immediately.
The recommended fix is to upgrade InvoicePlane to version 1.7.1 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting access to the publicinvoicetemplate setting.
While no active exploitation has been confirmed publicly, the vulnerability's ease of exploitation suggests it is likely to be targeted. Proactive patching is essential.
Refer to the InvoicePlane security advisory for detailed information and updates: [https://invoiceplane.com/security/](https://invoiceplane.com/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.