Mehrere Schwachstellen (CVE-2026-24834, CVE-2026-25548, CVE-2026-26030) in Invoiceplane
Zusammenfassung
In der Rechnungssoftware InvoicePlane 1.7.0 wurde eine schwerwiegende Sicherheitslücke gefunden, die es Administratoren ermöglicht, beliebigen Code auf dem Server auszuführen. Das Problem entsteht durch eine Kombination aus Local File Inclusion und Log Poisoning. Angreifer können die `public_invoice_template`-Einstellung manipulieren, um kompromittierte Logdateien mit bösartigem PHP-Code einzubinden. Zum Glück wurde die Schwachstelle in Version 1.7.1 behoben. Nutzer sollten dringend auf den aktuellen Stand updaten, um die Sicherheit ihrer Anwendung wiederherzustellen.
Invoiceplane - Invoiceplane - CRITICAL - CVE-2026-25548.
A significant security vulnerability has been identified in InvoicePlane 1.7.0, which allows authenticated administrators to execute arbitrary commands on the server. This vulnerability arises from a series of attacks including Local File Inclusion and Log Poisoning. By manipulating the `public_invoice_template` setting, attackers can include compromised log files that contain malicious PHP code, posing a severe risk to the integrity of the system. The issue has been addressed in version 1.7.1, which provides critical patches to mitigate this risk. Users are strongly advised to update to the latest version to ensure the security of their applications.
Quelle: securityvulnerability.io