Platform
php
Component
invoiceplane
Opgelost in
1.7.1
CVE-2026-25548 beschrijft een kritieke Remote Code Execution (RCE) kwetsbaarheid in InvoicePlane, een open-source applicatie voor factuurbeheer. Deze kwetsbaarheid stelt een geauthenticeerde beheerder in staat om willekeurige systeemcommando's uit te voeren op de server. De kwetsbaarheid is aanwezig in versies van InvoicePlane tot en met 1.7.0 en is verholpen in versie 1.7.1.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot volledige controle over de server waarop InvoicePlane draait. Een aanvaller kan de server gebruiken om gevoelige gegevens te stelen, malware te installeren of andere schadelijke acties uit te voeren. De aanval combineert een Local File Inclusion (LFI) kwetsbaarheid met Log Poisoning, waarbij de aanvaller de publicinvoicetemplate instelling manipuleert om vergiftigde logbestanden te includeren die PHP-code bevatten. Dit stelt de aanvaller in staat om willekeurige code uit te voeren met de privileges van de InvoicePlane beheerder. Dit is vergelijkbaar met andere Log Poisoning aanvallen waarbij de logbestanden worden misbruikt om code uit te voeren.
Deze kwetsbaarheid is met een CVSS score van 9.1 als kritiek beoordeeld. Er zijn momenteel geen publieke exploitatiecampagnes bekend, maar de beschikbaarheid van de kwetsbaarheid en de relatieve eenvoud van de exploitatie maken het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is openbaar gemaakt op 2026-02-18. Er is geen vermelding op KEV op het moment van schrijven.
Organizations using InvoicePlane for invoice management, particularly those with self-hosted deployments and administrator accounts that are not adequately secured, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromise of one user's InvoicePlane installation could potentially affect others.
• linux / server:
journalctl -u invoiceplane | grep -i "php code injection"• generic web:
curl -I http://your-invoiceplane-server.com/public_invoice_template | grep -i "Content-Type: text/plain"• php: Check the InvoicePlane configuration files for any unusual or unexpected entries in the publicinvoicetemplate setting. Look for suspicious file paths or attempts to include external files.
disclosure
Exploit Status
EPSS
0.14% (34% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar InvoicePlane versie 1.7.1 of hoger. Indien een directe upgrade niet mogelijk is, kan de publicinvoicetemplate instelling worden beperkt tot veilige, vooraf gedefinieerde sjablonen. Controleer de InvoicePlane configuratie op ongebruikelijke instellingen of bestanden. Implementeer een Web Application Firewall (WAF) met regels om LFI en Log Poisoning aanvallen te detecteren en te blokkeren. Na de upgrade, controleer de serverlogbestanden op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door te proberen de aanval te reproduceren (alleen in een testomgeving).
Update InvoicePlane naar versie 1.7.1 of hoger. Deze versie corrigeert de Remote Code Execution kwetsbaarheid. De update kan worden uitgevoerd door de laatste versie te downloaden van de officiële website of door gebruik te maken van het geïntegreerde updatesysteem, indien beschikbaar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-25548 is een kritieke Remote Code Execution (RCE) kwetsbaarheid in InvoicePlane tot en met versie 1.7.0, waardoor een geauthenticeerde beheerder willekeurige code kan uitvoeren.
Ja, als u een versie van InvoicePlane gebruikt die ≤ 1.7.0 is, dan bent u getroffen door deze kwetsbaarheid.
Upgrade InvoicePlane naar versie 1.7.1 of hoger om deze kwetsbaarheid te verhelpen. Indien een upgrade niet direct mogelijk is, beperk dan de publicinvoicetemplate instelling.
Er zijn momenteel geen bevestigde actieve exploitatiecampagnes bekend, maar de kwetsbaarheid is kritiek en kan in de toekomst worden misbruikt.
Raadpleeg de officiële InvoicePlane website of GitHub repository voor het meest recente advisory en updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.