PT-2026-37123 · Kimai · Kimai
Azureadtrent
·
Publicado
2026-04-24
·
Atualizado
2026-05-12
·
CVE-2026-41498
CVSS v3.1
3.3
Baixa
| Vetor | AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Kimai versões anteriores a 2.54.0
Descrição
Os endpoints da API de Equipe no arquivo TeamController.php utilizam o atributo
#[IsGranted('edit team')] em vez de #[IsGranted('edit','team')]. Isso faz com que o Symfony TeamVoter se abstenha de votar, removendo as verificações de propriedade em nível de entidade nas operações de equipe. Consequentemente, qualquer usuário com a permissão edit team pode modificar qualquer equipe, incluindo a composição de membros e atribuições de clientes, projetos e atividades, independentemente de ter autorização para gerenciar aquela equipe específica. Este problema é explorável se um administrador atribuir a permissão edit team a uma função de menor privilégio.Recomendações
Atualizar para a versão 2.54.0.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kimai