JVNDB-2026-004532

InvoicePlane.comのInvoicePlaneにおける複数の脆弱性

InvoicePlaneは請求書、クライアント、および支払いを管理するためのセルフホスト型オープンソースアプリケーションです。InvoicePlane 1.7.0には、連鎖したローカルファイルインクルージョン（LFI）およびログポイズニング攻撃により発生する重大なリモートコード実行（RCE）脆弱性が存在します。認証された管理者は、`public_invoice_template`設定を操作してPHPコードを含む毒化されたログファイルを取り込むことで、サーバー上で任意のシステムコマンドを実行できます。この問題はバージョン1.7.1で修正されました。

InvoicePlane.com

• InvoicePlane 1.7.1 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Remote Code Execution via Local File Inclusion and Log Poisoning  Advisory  InvoicePlane/InvoicePlane  GitHub

1. 不適切なログ出力の無効化(CWE-117) [その他]
2. コード・インジェクション(CWE-94) [その他]
3. PHP リモートファイルインクルージョン(CWE-98) [その他]

1. CVE-2026-25548

1. National Vulnerability Database (NVD) : CVE-2026-25548
2. 関連文書 : Version 1.7.1 to develop (#1463)  InvoicePlane/InvoicePlane@93622f2  GitHub

• [2026年02月24日]
    掲載