nvd,anchore_overrides
Invoiceplane
Уязвимости
29
Эксплуатируемые
0
Критический
4
Высокий
6
Топ продуктов
Топ уязвимостей
CVE-2025-67084Уязвимость загрузки файлов в InvoicePlane через 1.6.3 позволяет аутентифицированным злоумышленникам загружать произвольные файлы PHP в вложения, которые впоследствии могут быть выполнены удаленно, что приведет к удаленному исполнению кода (RCE).
CVE-2024-56975InvoicePlane (все версии, протестированные на декабрь 2024 года) v.1.6.11 и ранее содержат уязвимость удаленного выполнения кода в методе upload_file контроллера загрузки.
CVE-2026-23491InvoicePlane - это самостоятельное приложение с открытым исходным кодом для управления счетами, клиентами и платежами. Уязвимость прохождения пути существует в методе `get_file` контроллера модуля `Get` в InvoicePlane до 1.6.3 включительно. Уязвимость позволяет неаутентифицированным злоумышленникам считывать произвольные файлы на сервере, манипулируя именем файла ввода. Это приводит к раскрытию конфиденциальной информации, включая конфигурационные файлы с учетными данными базы данных. Версия 1.6.4 устраняет проблему.
CVE-2026-25548InvoicePlane - это самостоятельный прикладной с открытым исходным кодом для управления счетами, клиентами и платежами. Критическая уязвимость удаленного исполнения кода (RCE) существует в InvoicePlane 1.7.0 через цепную атаку локального включения файлов (LFI) и Log Poisoning. Аутентифицированный администратор может выполнять произвольные системные команды на сервере, манипулируя настройкой `public_invoice_template` для включения отравленных файлов журналов, содержащих код PHP. Версия 1.7.1 исправляет проблему.
CVE-2017-1000238InvoicePlane версии 1.4.10 уязвим для произвольной загрузки файлов, что позволяет аутентифицированному пользователю загружать вредоносный файл на веб-сервер. Злоумышленник может загрузить скрипт, который может скомпрометировать веб-сервер.
CVE-2026-24746InvoicePlane - это самостоятельное приложение с открытым исходным кодом для управления счетами, клиентами и платежами. Уязвимость сложенного скринирования сайта (XSS) возникает в функциях Edit Quotes InvoicePlane версии 1.7.0. В функции Editing Quotes приложение не проверяет пользовательский ввод в параметре quote_number. Хотя для его использования требуются привилегии администратора, это по-прежнему считается критической уязвимостью, поскольку это может привести к таким действиям, как несанкционированная модификация данных приложений, создание постоянных бэкдоров с помощью сохраненных вредоносных скриптов и полный компрометации целостности приложения. Версия 1.7.1 исправляет проблему.
CVE-2026-24745InvoicePlane - это самостоятельное приложение с открытым исходным кодом для управления счетами, клиентами и платежами. Уязвимость с хранимым межсайтовым скринированием (XSS) возникает в функциях логотипа загрузки Log в InvoicePlane версии 1.7.0. В логотипе запроса приложения позволяет загружать svg файлы. Хотя для его использования требуются привилегии администратора, это по-прежнему считается критической уязвимостью, поскольку это может привести к таким действиям, как несанкционированная модификация данных приложений, создание постоянных бэкдоров с помощью сохраненных вредоносных скриптов и полный компрометации целостности приложения. Версия 1.7.1 исправляет проблему.
CVE-2026-24744InvoicePlane - это самостоятельное приложение с открытым исходным кодом для управления счетами, клиентами и платежами. Уязвимость со сжатым скринированием по пересеченной площадке (XSS) возникает в функциях Edit InvoiceSPlane версии 1.7.0. При редактировании счетов-фактур приложение не проверяет пользовательский ввод по параметру `invoice_number`. Хотя для его использования требуются привилегии администратора, это по-прежнему считается критической уязвимостью, поскольку это может привести к таким действиям, как несанкционированная модификация данных приложений, создание постоянных бэкдоров с помощью сохраненных вредоносных скриптов и полный компрометации целостности приложения. Версия 1.7.1 исправляет проблему.
CVE-2026-24743InvoicePlane - это самостоятельная заявка с открытым исходным кодом для управления счетами, клиентами и платежами. Уязвимость сложенного скринирования сАЙПС (XSS) возникает в функциях загрузки логотипа Invoice версии 1.7.0. Функция логотипа загрузить Invoice позволяет приложению загружать svg файлы. Хотя для его использования требуются привилегии администратора, это по-прежнему считается критической уязвимостью, поскольку это может привести к таким действиям, как несанкционированное изменение данных приложений, создание постоянных бэкдоров с помощью сохраненных вредоносных скриптов и полный компрометации целостности приложения. Версия 1.7.1 исправляет проблему.
CVE-2021-29024В InvoicePlane 1.5.11 неправильно сконфигурированный веб-сервер позволяет неаутентифицированный листинг каталогов и загрузку файлов. Это позволяет злоумышленнику осуществлять обход каталогов и загружать файлы, которые должны быть закрытыми, без аутентификации.
CVE-2025-67082Уязвимость инъекций SQL в InvoicePlane через 1.6.3 была идентифицирована в параметрах «maxQuantity» и «minQuantity» при генерации отчета. Аутентифицированный злоумышленник может использовать эту проблему с помощью инъекции SQL на основе ошибок, что позволяет извлекать произвольные данные из базы данных. Уязвимость возникает из-за недостаточной санации отдельных котировок.
CVE-2024-12667В InvoicePlane до версии 1.6.1 обнаружена уязвимость, классифицированная как проблемная. Этой проблемой затронута некоторая неизвестная функциональность файла /invoices/view. Манипуляция приводит к истечению срока действия сеанса. Атака может быть запущена удаленно. Сложность атаки довольно высока. Известно, что эксплуатация затруднена. Эксплойт был обнародован и может быть использован. Обновление до версии 1.6.2-beta-1 позволяет решить эту проблему. Рекомендуется обновить затронутый компонент. С поставщиком связались заранее, он отреагировал очень профессионально и быстро выпустил исправленную версию затронутого продукта.
CVE-2023-23011Уязвимость межсайтового скриптинга (XSS) в InvoicePlane 1.6 через ввод filter_product в файл modal_product_lookups.php.
CVE-2018-12255Проблема XSS обнаружена в InvoicePlane 1.5.10 через поле «Quote PDF Password(Optional)».
CVE-2017-18217В InvoicePlane до версии 1.5.5 обнаружена проблема. Было замечено, что параметры адреса электронной почты и веб-адреса уязвимы для межсайтового скриптинга, что связано с application/modules/clients/views/view.php, application/modules/invoices/views/view.php и application/modules/quotes/views/view.php.
CVE-2017-1000508Invoice Plane версии 1.5.4 и более ранние версии содержат уязвимость межсайтового скриптинга (XSS) в деталях клиента, которая может привести к выполнению кода javascript. Эта уязвимость, по-видимому, была исправлена в версии 1.5.5 и более поздних.
CVE-2026-26270InvoicePlane - это самостоятельный открытый исходный код для управления счетами, клиентами и платежами. Уязвимость сопроводительных сценариев (XSS) хранится в InvoicePlane (последняя версия), которая позволяет аутентифицированному пользователю с разрешениями управлять группами счетов-фактур для впрыскивания вредоносного JavaScript в поле «Идентификатор формата». Этот скрипт выполняется, когда любой пользователь просматривает список счетов-фактур или основную панель управления. Версия 1.7.1 исправляет проблему.
CVE-2019-7223InvoicePlane 1.5 имеет хранящуюся XSS через параметр invoice_password index.php/invoices/ajax/save, также известный как поле "PDF password" для опции "Create Invoice". Полезная нагрузка XSS отображается по URI index.php/invoices/view/##. ПРИМЕЧАНИЕ: это отличается от CVE-2018-12255.
CVE-2017-1000239InvoicePlane версии 1.4.10 уязвим для хранения межсайтовых сценариев, что позволяет аутентифицированному пользователю внедрять вредоносные клиентские скрипты, которые будут выполняться в браузере пользователей, если они посетят скомпрометированный сайт.
CVE-2025-67083Уязвимость справки в InvoicePlane через 1.6.3 позволяет неаудовлетворенным злоумышленникам считывать файлы с сервера. Возможность чтения файлов и типа файла зависит от веб-сервера и его конфигурации.
CVE-2024-12478Уязвимость была обнаружена в InvoicePlane до версии 1.6.1. Она была объявлена критической. Эта уязвимость затрагивает функцию upload_file файла /index.php/upload/upload_file/1/1. Манипулирование аргументом file приводит к неограниченной загрузке. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. Обновление до версии 1.6.2-beta-1 позволяет решить эту проблему. Рекомендуется обновить затронутый компонент. С поставщиком связались заранее, он отреагировал очень профессионально и быстро выпустил исправленную версию затронутого продукта.
CVE-2024-12362В InvoicePlane до версии 1.6.1 обнаружена уязвимость. Она была классифицирована как проблемная. Это затрагивает функцию download файла invoices.php. Манипулирование аргументом invoice приводит к обходу пути. Возможно инициировать атаку удаленно. Эксплойт был обнародован и может быть использован. Обновление до версии 1.6.2-beta-1 позволяет решить эту проблему. Рекомендуется обновить затронутый компонент. С поставщиком связались заранее, он отреагировал очень профессионально и быстро выпустил исправленную версию затронутого продукта.
CVE-2021-29023InvoicePlane 1.5.11 не имеет ограничения скорости для сброса пароля, а токен сброса генерируется с использованием слабого механизма, который является предсказуемым.
CVE-2021-29022В InvoicePlane 1.5.11 функция загрузки раскрывает полный путь к каталогу загрузки файлов.
CVE-2026-25596InvoicePlane - это самостоятельное приложение с открытым исходным кодом для управления счетами, клиентами и платежами. Хранимая уязвимость Cross-Site Scripting (XSS) существует в InvoicePlane 1.7.0 через поля названия блока продукта. Аутентифицированный администратор может вводить вредоносный JavaScript, который выполняется, когда любой администратор просматривает счет, содержащий продукт, с вредоносным блоком. Версия 1.7.1 исправляет проблему.