lagathos/CVE-2026-25595

GitHub: lagathos/CVE-2026-25595

InvoicePlane 1.7.0 发票号码字段存储型 XSS 漏洞的概念验证，含完整漏洞分析、复现步骤与修复参考。

Stars: 0 | Forks: 0

# CVE-2026-25595 — InvoicePlane 1.7.0 中通过发票号码实现的存储型 XSS **漏洞：** 通过发票号码 (Invoice Number) 字段实现的存储型跨站脚本攻击 (XSS) **产品：** [InvoicePlane](https://invoiceplane.com) **受影响版本：** 1.7.0（及可能的早期版本） **严重程度：** 中等 **CVSS 3.1 评分：** 4.8 (`CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N`) **CWE：** CWE-79：网页生成过程中输入的不当中和 **发现者：** Leonidas Agathos **报告日期：** 2026-01-31 ## 描述发票表单中的 `invoice_number` 字段接受任意输入而未进行清理。该值被存储并在多个位置以未编码的形式渲染：发票查看页面标题、发票号码输入字段以及仪表板的最近发票小部件。只要管理员查看受影响的发票或访问仪表板，负载就会触发。 **易受攻击的文件：** - `application/modules/invoices/views/view.php:247` - `application/modules/invoices/views/view.php:494` - `application/modules/dashboard/views/index.php:233` ``` // view.php - Line 247 invoice_number ? '#' . $invoice->invoice_number : trans('id') . ': ' . $invoice->invoice_id); ?> // view.php - Line 494 value="invoice_number; ?>" // dashboard/index.php - Line 233 invoice_id, ($invoice->invoice_number ? $invoice->invoice_number : $invoice->invoice_id)); ?> ``` ## 概念验证 **步骤 1 — 将负载注入发票号码** 在 `/index.php/invoices/form/{id}` 创建或编辑发票，并将发票号码设置为： ``` ``` **请求：** ``` POST /index.php/invoices/ajax/save HTTP/1.1 Host: 172.25.0.12 Content-Type: application/x-www-form-urlencoded invoice_number=&invoice_id=22&... ``` ![步骤 1 - 通过 Burp Suite 将 XSS 负载注入发票号码字段](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/65042f41cf022352.png) **步骤 2 — 触发 XSS** 导航到 `/index.php/invoices/view/{id}` 或 `/index.php/dashboard`。页面加载时负载会触发。 ![步骤 2 - 查看发票状态时执行 XSS](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/efadb5f54f022353.png) ## 影响负载会在任何查看受影响发票或访问仪表板的管理员浏览器中执行。这使得会话劫持（如果 cookie 未设置 HttpOnly）、CSRF token 窃取以及以受害者身份执行操作成为可能。 ## 时间线 | 日期 | 事件 | |------|-------| | 2026-01-30 | 发现漏洞 | | 2026-01-31 | 开发概念验证 | | 2026-01-31 | 通知供应商 | | 2026-02-04 | 供应商确认 | | 2026-02-04 | 发布补丁 | | 2026-02-05 | 公开披露 | ## 参考资料 - [CWE-79](https://cwe.mitre.org/data/definitions/79.html) - [OWASP: 跨站脚本攻击 (XSS)](https://owasp.org/www-community/attacks/xss/) - [CVE-2026-25595](https://nvd.nist.gov/vuln/detail/CVE-2026-25595) ## 免责声明此漏洞是在独立安全研究期间发现的。所有信息严格仅用于教育、研究和防御目的，以协助供应商和安全社区理解和修复该问题。严禁将此信息用于任何恶意目的。

标签：0day, CISA项目, CVE, CVE-2026-25595, CWE-79, Exploit, InvoicePlane, InvoicePlane 1.7.0, PHP安全, PoC, Web安全, 存储型XSS, 数字签名, 数据可视化, 暴力破解, 渗透, 漏洞分析, 网络安全, 蓝队分析, 跨站脚本攻击, 路径探测, 输入验证缺失, 隐私保护