CVE-2026-40486

Name of the Vulnerable Software and Affected Versions Kimai versões anteriores a 2.53.0

Description Um problema de Mass Assignment e Broken Object Property Level Authorization existe na API de Preferências do Usuário. O endpoint '/api/users/{id}/preferences' não verifica a flag isEnabled() em objetos de preferência ao aplicar os valores enviados. Isso permite que qualquer usuário autenticado ignore os controles de acesso baseados em funções e modifique atributos financeiros restritos, especificamente as variáveis hourly rate e internal rate, mesmo que não possuam a permissão de função hourly-rate necessária. Isso pode levar a manipulações financeiras não autorizadas que afetam faturas e cálculos de folhas de ponto.

Recommendations Atualizar para a versão 2.53.0. Como medida paliativa temporária, restrinja o acesso ao endpoint '/api/users/{id}/preferences' para minimizar o risco de exploração.