Azureadtrent

**Nome do Software Vulnerável e Versões Afetadas** Kimai versões anteriores a 2.54.0 **Descrição** Os endpoints da API de Equipe no arquivo TeamController.php utilizam o atributo `#[IsGranted('edit team')]` em vez de `#[IsGranted('edit','team')]`. Isso faz com que o Symfony TeamVoter se abstenha de votar, removendo as verificações de propriedade em nível de entidade nas operações de equipe. Consequentemente, qualquer usuário com a permissão `edit team` pode modificar qualquer equipe, incluindo a composição de membros e atribuições de clientes, projetos e atividades, independentemente de ter autorização para gerenciar aquela equipe específica. Este problema é explorável se um administrador atribuir a permissão `edit team` a uma função de menor privilégio. **Recomendações** Atualizar para a versão 2.54.0.