Satexd

**Nome do Software Vulnerável e Versões Afetadas** Kimai versões 2.27.0 até 2.53.x **Descrição** Usuários com privilégios `ROLE USER` podem criar uma etiqueta contendo uma string de fórmula (como `=SUM(54+51)`) através do endpoint 'POST /api/tags' e atribuí-la a uma folha de horas. A função `ArrayFormatter.formatValue()` junta os nomes das etiquetas usando `implode()` sem sanitização. Consequentemente, quando um administrador exporta folhas de horas para o formato XLSX, a biblioteca OpenSpout trata qualquer string prefixada com `=` como uma `FormulaCell`, escrevendo-a no arquivo. Isso permite que a fórmula seja avaliada pelo Excel quando o arquivo for aberto. O problema decorre da falha do `ArrayFormatter` em chamar a função `sanitizeDDE()` e do fato de a API permitir caracteres gatilhos de fórmula como `=`, `+`, `-` e `@` nos nomes das etiquetas. **Recomendações** Atualize para a versão 2.54.0. Como medida paliativa temporária, evite criar etiquetas que comecem com `=`, `+`, `-` ou `@` e restrinja o uso do endpoint 'POST /api/tags' para usuários não confiáveis.