CRITICAL🇬🇧 English

CVE-2026-23491

Path traversal w InvoicePlane umożliwia odczyt dowolnych plików bez uwierzytelnienia

CVSS 9.3v4.0pub. 2026-02-18upd. 2026-02-25

W aplikacji InvoicePlane w wersjach do 1.6.3 włącznie istnieje podatność path traversal w metodzie `get_file` kontrolera `Get` modułu `Guest`. Nieuprawniony atakujący może odczytać dowolne pliki na serwerze bez konieczności logowania się do systemu.

Pokaż oryginał (EN)

InvoicePlane is a self-hosted open source application for managing invoices, clients, and payments. A path traversal vulnerability exists in the `get_file` method of the `Guest` module's `Get` controller in InvoicePlane up to and including through 1.6.3. The vulnerability allows unauthenticated attackers to read arbitrary files on the server by manipulating the input filename. This leads to the disclosure of sensitive information, including configuration files with database credentials. Version 1.6.4 fixes the issue.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji nazwy pliku przekazywanej do metody `get_file` w module obsługiwanym przez nieuautentykowanych użytkowników (moduł `Guest`). Manipulując parametrem wejściowym nazwy pliku — np. stosując sekwencje `../` — atakujący może wyjść poza dozwolony katalog i wskazać dowolny plik w systemie plików serwera. Ponieważ podatny endpoint jest dostępny bez uwierzytelnienia, exploit nie wymaga posiadania żadnych poświadczeń ani uprawnień w aplikacji.

Skutki

Atakujący może odczytać dowolne pliki na serwerze, w tym pliki konfiguracyjne zawierające dane uwierzytelniające do bazy danych, co może prowadzić do dalszego przejęcia infrastruktury. W przypadku wycieku poświadczeń możliwe jest eskalowanie ataku na inne komponenty systemu.

Mitygacja

Należy zaktualizować InvoicePlane do wersji 1.6.4, która zawiera poprawkę eliminującą podatność. Szczegóły poprawki dostępne są w repozytorium projektu na GitHub (commit add8bb798dde621f886823065ef1841986543c69).

Kogo dotyczy

InvoicePlane w wersjach do 1.6.3 włącznie

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Invoiceplane

    APP
    Invoiceplane
    < 1.6.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path TraversalAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-25548CRITICAL9.1PL ✓ten sam produkt

RCE w InvoicePlane 1.7.0 via LFI i Log Poisoning

CVE-2025-67084CRITICAL9.9PL ✓ten sam produkt

RCE przez nieautoryzowany upload plików PHP w InvoicePlane

CVE-2024-56975CRITICAL9.8PL ✓ten sam produkt

RCE w InvoicePlane — niebezpieczne przesyłanie plików (upload_file)

CVE-2021-29024HIGH7.5ten sam produkt

In InvoicePlane 1.5.11 a misconfigured web server allows unauthenticated directory listing and file download. ...

CVE-2017-1000238HIGH8.8ten sam produkt

InvoicePlane version 1.4.10 is vulnerable to a Arbitrary File Upload resulting in an authenticated user can up...