Vulnerabilidad en función de 'Editar Presupuestos' de InvoicePlane (CVE-2026-24746)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
18/02/2026
Última modificación:
20/02/2026
Descripción
InvoicePlane es una aplicación de código abierto autoalojada para gestionar facturas, clientes y pagos. Hay una vulnerabilidad de cross-site scripting (XSS) almacenado en la función de 'Editar Presupuestos' de InvoicePlane versión 1.7.0. En la función de 'Editar Presupuestos', la aplicación no valida la entrada del usuario en el parámetro quote_number. Aunque se requieren privilegios de administrador para explotarla, esto sigue siendo considerado una vulnerabilidad crítica, ya que puede causar acciones como la modificación no autorizada de datos de la aplicación, la creación de puertas traseras persistentes a través de scripts maliciosos almacenados y el compromiso total de la integridad de la aplicación. La versión 1.7.1 corrige el problema.
Impacto
Puntuación base 3.x
5.70
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:invoiceplane:invoiceplane:1.7.0:-:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página