Plataforma
php
Componente
invoiceplane
Corrigido em
1.7.1
Uma vulnerabilidade crítica de Execução Remota de Código (RCE) foi descoberta no InvoicePlane, um software de código aberto para gerenciamento de faturas. Essa falha permite que um administrador autenticado execute comandos arbitrários no servidor, explorando uma combinação de Local File Inclusion (LFI) e Log Poisoning. A vulnerabilidade afeta versões até 1.7.0, e uma correção foi lançada na versão 1.7.1.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante obter controle total sobre o servidor onde o InvoicePlane está instalado. Ao manipular a configuração publicinvoicetemplate para incluir arquivos de log envenenados com código PHP, o atacante pode injetar e executar código malicioso. Isso pode levar ao roubo de dados confidenciais, modificação de informações financeiras, instalação de malware ou até mesmo ao uso do servidor para lançar ataques a outros sistemas. A gravidade da vulnerabilidade reside na facilidade de exploração e no potencial de impacto devastador.
Esta vulnerabilidade foi divulgada em 18 de fevereiro de 2026. Não há relatos públicos de exploração ativa no momento, mas a facilidade de exploração e a gravidade da vulnerabilidade a tornam um alvo atraente para atacantes. A pontuação de probabilidade de exploração (EPSS) é considerada alta devido à combinação de um CVSS de 9.1 e à disponibilidade de informações sobre a vulnerabilidade. A inclusão na KEV (Know Exploited Vulnerabilities) ainda não ocorreu.
Organizations using InvoicePlane for invoice management, particularly those with self-hosted deployments and administrator accounts that are not adequately secured, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromise of one user's InvoicePlane installation could potentially affect others.
• linux / server:
journalctl -u invoiceplane | grep -i "php code injection"• generic web:
curl -I http://your-invoiceplane-server.com/public_invoice_template | grep -i "Content-Type: text/plain"• php: Check the InvoicePlane configuration files for any unusual or unexpected entries in the publicinvoicetemplate setting. Look for suspicious file paths or attempts to include external files.
disclosure
Status do Exploit
EPSS
0.14% (percentil 34%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 1.7.1 do InvoicePlane, que corrige a falha. Se a atualização imediata não for possível, considere restringir o acesso ao painel de administração do InvoicePlane e implementar controles de segurança adicionais, como a desativação do registro de erros públicos. Monitore os logs do sistema em busca de atividades suspeitas, como tentativas de acesso a arquivos não autorizados ou execução de comandos inesperados. Após a atualização, confirme a correção verificando se a configuração publicinvoicetemplate não permite mais a inclusão de arquivos externos.
Atualize InvoicePlane para a versão 1.7.1 ou superior. Esta versão corrige a vulnerabilidade de execução remota de código. A atualização pode ser realizada baixando a última versão do site oficial ou utilizando o sistema de atualização integrado, se disponível.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-25548 is a critical Remote Code Execution vulnerability in InvoicePlane versions 1.7.0 and earlier, allowing an authenticated admin to execute system commands via a chained LFI/Log Poisoning attack.
Yes, if you are running InvoicePlane version 1.7.0 or earlier, you are affected by this vulnerability. Upgrade to version 1.7.1 immediately.
The recommended fix is to upgrade InvoicePlane to version 1.7.1 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting access to the publicinvoicetemplate setting.
While no active exploitation has been confirmed publicly, the vulnerability's ease of exploitation suggests it is likely to be targeted. Proactive patching is essential.
Refer to the InvoicePlane security advisory for detailed information and updates: [https://invoiceplane.com/security/](https://invoiceplane.com/security/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.