Kevinpapst

**Name of the Vulnerable Software and Affected Versions** Kimai (versões afetadas não especificadas) **Description** Uma correção de segurança incompleta na função do lado do cliente `escapeForHtml()` no arquivo `KimaiEscape.js` permite Cross-Site Scripting (XSS) Armazenado. A função não escapa aspas duplas (") nem aspas simples ('), que são essenciais para evitar a injeção em contextos de atributos HTML. Quando dados controlados pelo usuário, como um alias de perfil, são colocados em um atributo HTML como 'title=" DISPLAY "' e renderizados usando `innerHTML`, um invasor pode realizar a injeção de atributos HTML. Isso pode levar à escalada de privilégios, onde um usuário com permissões `ROLE USER` executa scripts na sessão do navegador de um usuário com permissões `ROLE ADMIN` ou `ROLE SUPER ADMIN`. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Kimai anteriores à 2.51.0 **Descrição** O Kimai é um aplicativo de rastreamento de tempo multiusuário baseado na web. O endpoint da API `GET /api/invoices/{id}` verifica apenas a permissão `view invoice` baseada em função, mas não confirma se o usuário solicitante tem acesso ao cliente da fatura. Um usuário com a função `ROLE TEAMLEAD`, que concede a permissão `view invoice`, pode acessar todas as faturas no sistema, mesmo aquelas associadas a clientes atribuídos a diferentes equipes. O problema decorre da ausência de uma verificação de acesso ao cliente no endpoint da API, ao contrário do controlador web, que implementa corretamente essa verificação. O código vulnerável está localizado em `src/API/InvoiceController.php`, linhas 92-101. A função `getCustomer()` dentro de `CustomerVoter` verifica a associação à equipe, mas essa verificação não é aplicada ao endpoint da API. Uma prova de conceito demonstra que um líder de uma equipe pode ler faturas pertencentes a clientes de outra equipe usando uma simples requisição `curl` ao endpoint da API afetado. Isso permite acesso não autorizado a informações financeiras sensíveis, como valores de faturas, detalhes do cliente e condições de pagamento, comprometendo potencialmente o isolamento de dados em implantações multi-equipe. O parâmetro vulnerável é `id` no endpoint ''/api/invoices/{id}''. **Recomendações** Versões anteriores à 2.51.0 devem ser atualizadas para a versão 2.51.0 ou posterior. Adicione a verificação de acesso ao cliente ao endpoint da API, espelhando a implementação no controlador web. Especificamente, inclua a seguinte expressão na função `getAction` de `src/API/InvoiceController.php`: `#[IsGranted(new Expression("is granted('access', subject.getCustomer())"), 'invoice')]`.

**Name of the Vulnerable Software and Affected Versions** kevinpapst kimai2 version 1.30.0 **Description** The issue is related to a Cross Site Scripting (XSS) vulnerability, which allows attackers to gain escalated privileges. This vulnerability is located in the `/src/Twig/Runtime/MarkdownExtension.php` file. **Recommendations** For kevinpapst kimai2 version 1.30.0, consider disabling the `/src/Twig/Runtime/MarkdownExtension.php` file or restricting access to it until a patch is available. At the moment, there is no information about a newer version that contains a fix for this vulnerability.