Udaypali

**Name of the Vulnerable Software and Affected Versions** Kimai versões anteriores a 2.53.0 **Description** Um problema de Mass Assignment e Broken Object Property Level Authorization existe na API de Preferências do Usuário. O endpoint '/api/users/{id}/preferences' não verifica a flag `isEnabled()` em objetos de preferência ao aplicar os valores enviados. Isso permite que qualquer usuário autenticado ignore os controles de acesso baseados em funções e modifique atributos financeiros restritos, especificamente as variáveis `hourly rate` e `internal rate`, mesmo que não possuam a permissão de função `hourly-rate` necessária. Isso pode levar a manipulações financeiras não autorizadas que afetam faturas e cálculos de folhas de ponto. **Recommendations** Atualizar para a versão 2.53.0. Como medida paliativa temporária, restrinja o acesso ao endpoint '/api/users/{id}/preferences' para minimizar o risco de exploração.