CVE-2026-42267

Nome do Software Vulnerável e Versões Afetadas Kimai versões 2.27.0 até 2.53.x

Descrição Usuários com privilégios ROLE USER podem criar uma etiqueta contendo uma string de fórmula (como =SUM(54+51)) através do endpoint 'POST /api/tags' e atribuí-la a uma folha de horas. A função ArrayFormatter.formatValue() junta os nomes das etiquetas usando implode() sem sanitização. Consequentemente, quando um administrador exporta folhas de horas para o formato XLSX, a biblioteca OpenSpout trata qualquer string prefixada com = como uma FormulaCell, escrevendo-a no arquivo. Isso permite que a fórmula seja avaliada pelo Excel quando o arquivo for aberto. O problema decorre da falha do ArrayFormatter em chamar a função sanitizeDDE() e do fato de a API permitir caracteres gatilhos de fórmula como =, +, - e @ nos nomes das etiquetas.

Recomendações Atualize para a versão 2.54.0. Como medida paliativa temporária, evite criar etiquetas que comecem com =, +, - ou @ e restrinja o uso do endpoint 'POST /api/tags' para usuários não confiáveis.