CVE-2026-25548 — 神龙十问 AI 深度分析摘要

🚨 **本质**：本地文件包含 (LFI) + 日志投毒。 💥 **后果**：攻击者可实现 **远程代码执行 (RCE)**，彻底接管服务器。

🔍 **CWE-94**：代码生成漏洞。 📍 **缺陷点**：通过 **链接本地文件包含** 结合 **日志投毒** 攻击，导致恶意代码被包含执行。

🏢 **厂商**：InvoicePlane。 📦 **产品**：InvoicePlane。 📅 **版本**：**1.7.0** 版本存在此漏洞。

👑 **权限**：获得 **远程代码执行** 权限。 📊 **数据**：可完全控制服务器，窃取报价、发票、客户及付款等敏感数据。

🔐 **门槛**：需 **PR:H (High Privileges)**。 ⚠️ **注意**：攻击者需要 **身份认证**（即需要登录账号）才能利用此漏洞。

📂 **PoC**：数据中 **pocs** 字段为空，暂无公开现成 Exp。 🌍 **在野**：无明确在野利用报告。

🔎 **自查**：检查是否运行 **InvoicePlane 1.7.0**。 🛡️ **检测**：监控日志中是否存在异常的 **文件包含** 或 **日志注入** 特征。

🛠️ **补丁**：官方已发布安全公告 (GHSA-g6rw-m9mf-33ch) 及修复提交 (commit 93622f2)。 ✅ **状态**：建议立即升级至修复版本。

🚧 **临时规避**：若无补丁，需严格限制 **文件包含** 功能。 🚫 **缓解**：加强日志输入过滤，防止 **日志投毒**；确保只有授权用户访问。

🔥 **优先级**：**高 (Critical)**。 ⚡ **CVSS**：9.8 分。 💡 **建议**：虽然需要认证，但 RCE 后果严重，务必 **尽快修复**。