PT-2024-22803 · Kimai · Kimai
Astrogd
·
Publicado
2024-03-28
·
Atualizado
2025-10-10
·
CVE-2024-29200
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Kimai anteriores à 2.13.0
Descrição
A permissão
view other timesheet funciona de maneira diferente na interface do usuário (UI) do Kimai e na API, retornando, assim, dados inesperados por meio da API. Ao definir a permissão view other timesheet como verdadeira, no front-end, os usuários só podem ver entradas de planilhas de horas das equipes das quais fazem parte. Ao solicitar todas as planilhas de horas pela API, no entanto, todas as entradas são retornadas, independentemente de o usuário compartilhar permissões de equipe ou não. Este problema afeta a confidencialidade das entradas da planilha de horas.Recomendações
Para versões do Kimai anteriores à 2.13.0, atualize para a versão 2.13.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint da API
/api/timesheets?user=all para minimizar o risco de exploração. Evite usar a permissão view other timesheet até que o problema seja resolvido.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kimai