Astrogd

**Nome do software vulnerável e versões afetadas** Versões do Kimai anteriores à 2.13.0 **Descrição** A permissão `view other timesheet` funciona de maneira diferente na interface do usuário (UI) do Kimai e na API, retornando, assim, dados inesperados por meio da API. Ao definir a permissão `view other timesheet` como verdadeira, no front-end, os usuários só podem ver entradas de planilhas de horas das equipes das quais fazem parte. Ao solicitar todas as planilhas de horas pela API, no entanto, todas as entradas são retornadas, independentemente de o usuário compartilhar permissões de equipe ou não. Este problema afeta a confidencialidade das entradas da planilha de horas. **Recomendações** Para versões do Kimai anteriores à 2.13.0, atualize para a versão 2.13.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint da API `/api/timesheets?user=all` para minimizar o risco de exploração. Evite usar a permissão `view other timesheet` até que o problema seja resolvido.