CVE-2026-23626

Nome do Software Vulnerável e Versões Afetadas Versões do Kimai anteriores à 2.46.0

Descrição O Kimai é um aplicativo web de acompanhamento de tempo multiusuário. A funcionalidade de exportação utiliza um sandbox do Twig com uma política de segurança excessivamente permissiva (DefaultPolicy), permitindo chamadas de métodos arbitrários em objetos dentro do contexto do template. Um usuário autenticado com permissões de exportação pode explorar isso para implantar um modelo Twig malicioso, possivelmente extraindo informações sensíveis. Essas informações incluem variáveis de ambiente, todos os hashes de senha de usuários, tokens de sessão serializados e tokens CSRF.

Recomendações Atualize para a versão 2.46.0 ou posterior.