प्लेटफ़ॉर्म
php
घटक
invoiceplane
में ठीक किया गया
1.7.1
CVE-2026-25548 InvoicePlane में एक गंभीर रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है। यह भेद्यता एक प्रमाणित व्यवस्थापक को दूषित लॉग फ़ाइलों के माध्यम से सिस्टम कमांड निष्पादित करने की अनुमति देती है। यह भेद्यता InvoicePlane के संस्करण 1.7.0 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 1.7.1 में इस समस्या का समाधान किया गया है।
यह भेद्यता एक प्रमाणित व्यवस्थापक को सर्वर पर मनमाना सिस्टम कमांड निष्पादित करने की अनुमति देती है, जिससे संभावित रूप से डेटा चोरी, सिस्टम समझौता और अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। हमलावर InvoicePlane इंस्टॉलेशन तक पहुंच प्राप्त करने और व्यवस्थापक विशेषाधिकारों का उपयोग करने में सक्षम होने की आवश्यकता है। दूषित लॉग फ़ाइलों को शामिल करके, वे PHP कोड इंजेक्ट कर सकते हैं जो सर्वर पर निष्पादित होता है। यह भेद्यता लॉग पॉइज़निंग और लोकल फ़ाइल इंक्लूज़न (LFI) का एक संयोजन है, जो इसे विशेष रूप से खतरनाक बनाता है।
यह भेद्यता सार्वजनिक रूप से 18 फरवरी, 2026 को घोषित की गई थी। अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता की गंभीरता और आसानी से शोषण करने की क्षमता के कारण, इसका शोषण होने की संभावना है। यह भेद्यता CISA KEV सूची में शामिल होने की प्रतीक्षा कर रही है। सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (POC) उपलब्ध होने की संभावना है, जिससे हमलावरों के लिए इसका शोषण करना आसान हो जाएगा।
Organizations using InvoicePlane for invoice management, particularly those with self-hosted deployments and administrator accounts that are not adequately secured, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromise of one user's InvoicePlane installation could potentially affect others.
• linux / server:
journalctl -u invoiceplane | grep -i "php code injection"• generic web:
curl -I http://your-invoiceplane-server.com/public_invoice_template | grep -i "Content-Type: text/plain"• php: Check the InvoicePlane configuration files for any unusual or unexpected entries in the publicinvoicetemplate setting. Look for suspicious file paths or attempts to include external files.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.14% (34% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे महत्वपूर्ण शमन उपाय InvoicePlane को संस्करण 1.7.1 में अपग्रेड करना है, जिसमें इस भेद्यता को ठीक किया गया है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, सार्वजनिक इनवॉइस टेम्पलेट सेटिंग को सीमित करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी नियमों को लागू किया जा सकता है। इसके अतिरिक्त, लॉग फ़ाइलों में दुर्भावनापूर्ण कोड को रोकने के लिए सख्त इनपुट सत्यापन और आउटपुट एन्कोडिंग लागू करें। नियमित रूप से लॉग फ़ाइलों की निगरानी करें और किसी भी असामान्य गतिविधि के लिए अलर्ट सेट करें।
InvoicePlane को संस्करण 1.7.1 या उच्चतर में अपडेट करें। यह संस्करण रिमोट कोड एग्जीक्यूशन भेद्यता को ठीक करता है। अपडेट आधिकारिक वेबसाइट से नवीनतम संस्करण डाउनलोड करके या एकीकृत अपडेट सिस्टम का उपयोग करके किया जा सकता है, यदि उपलब्ध हो।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-25548 InvoicePlane में एक रिमोट कोड एग्जीक्यूशन भेद्यता है जो एक प्रमाणित व्यवस्थापक को सिस्टम कमांड निष्पादित करने की अनुमति देती है।
यदि आप InvoicePlane के संस्करण 1.7.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
InvoicePlane को संस्करण 1.7.1 में अपग्रेड करें।
अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन इसका शोषण होने की संभावना है।
कृपया InvoicePlane की आधिकारिक वेबसाइट या सुरक्षा सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।