CVE-2026-44298

Nome do Software Vulnerável e Versões Afetadas Kimai versões 2.32.0 até 2.55.x

Descrição Usuários com a função System-Admin (ROLE SYSTE ADMIN) e a permissão upload invoice template podem carregar modelos de fatura em PDF que executam pdfContext.setOption('associated files', ...) dentro da renderização sandboxed do Twig. Esta solicitação é encaminhada para a função SetAssociatedFiles() do mPDF, que utiliza file get contents($entry['path']) durante a saída do PDF para incorporar bytes como um fluxo FlateDecode. Consequentemente, qualquer arquivo legível pelo worker do PHP pode ser recuperado por um invasor por meio da fatura renderizada.

Recomendações Atualize o Kimai para a versão 2.56.0.