Plateforme
php
Composant
invoiceplane
Corrigé dans
1.7.1
La vulnérabilité CVE-2026-25548 est une faille d'exécution de code à distance (RCE) critique découverte dans InvoicePlane, une application open source pour la gestion des factures. Cette vulnérabilité, exploitée via une combinaison de Local File Inclusion (LFI) et d'empoisonnement de logs, permet à un administrateur authentifié d'exécuter des commandes système arbitraires sur le serveur. Elle affecte les versions d'InvoicePlane inférieures ou égales à 1.7.0 et a été corrigée dans la version 1.7.1.
Un attaquant peut exploiter cette vulnérabilité en manipulant le paramètre publicinvoicetemplate pour inclure des fichiers journaux empoisonnés contenant du code PHP malveillant. L'exécution réussie de ce code permet à l'attaquant de prendre le contrôle complet du serveur hébergeant InvoicePlane. Cela peut entraîner la compromission des données sensibles des clients, la modification des factures, le vol d'informations financières et potentiellement l'accès à d'autres systèmes sur le même réseau. La nature critique de cette vulnérabilité, combinée à la popularité d'InvoicePlane, en fait une cible privilégiée pour les acteurs malveillants.
Cette vulnérabilité a été publiée le 18 février 2026. Bien qu'il n'y ait pas d'indication d'exploitation active à ce jour, la nature critique de la vulnérabilité et la facilité d'exploitation potentielle la rendent susceptible d'être exploitée. Il n'y a pas d'entrée dans le KEV à ce jour. Des preuves de concept (PoC) peuvent être disponibles publiquement, augmentant le risque d'exploitation.
Organizations using InvoicePlane for invoice management, particularly those with self-hosted deployments and administrator accounts that are not adequately secured, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromise of one user's InvoicePlane installation could potentially affect others.
• linux / server:
journalctl -u invoiceplane | grep -i "php code injection"• generic web:
curl -I http://your-invoiceplane-server.com/public_invoice_template | grep -i "Content-Type: text/plain"• php: Check the InvoicePlane configuration files for any unusual or unexpected entries in the publicinvoicetemplate setting. Look for suspicious file paths or attempts to include external files.
disclosure
Statut de l'Exploit
EPSS
0.14% (percentile 34%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour InvoicePlane vers la version 1.7.1, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, il est fortement recommandé de restreindre l'accès à l'application et de surveiller attentivement les journaux système pour détecter toute activité suspecte. En attendant la mise à jour, il est possible de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des tentatives d'inclusion de fichiers malveillants. Vérifiez après la mise à jour que le paramètre publicinvoicetemplate est correctement validé et qu'il n'est pas possible d'inclure des fichiers externes.
Mettez à jour InvoicePlane à la version 1.7.1 ou supérieure. Cette version corrige la vulnérabilité d'exécution remota de code. La mise à jour peut être effectuée en téléchargeant la dernière version depuis le site web officiel ou en utilisant le système de mise à jour intégré, si disponible.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-25548 is a critical Remote Code Execution vulnerability in InvoicePlane versions 1.7.0 and earlier, allowing an authenticated admin to execute system commands via a chained LFI/Log Poisoning attack.
Yes, if you are running InvoicePlane version 1.7.0 or earlier, you are affected by this vulnerability. Upgrade to version 1.7.1 immediately.
The recommended fix is to upgrade InvoicePlane to version 1.7.1 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting access to the publicinvoicetemplate setting.
While no active exploitation has been confirmed publicly, the vulnerability's ease of exploitation suggests it is likely to be targeted. Proactive patching is essential.
Refer to the InvoicePlane security advisory for detailed information and updates: [https://invoiceplane.com/security/](https://invoiceplane.com/security/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.