CVE-2024-29200

API returns timesheet entries a user should not be authorized to view

CVSS 6.8 MEDIUMEPSS 0.6%CWE-1220

En resumen

La API de Kimai retorna incorrectamente todas las entradas de horas a usuarios que deberían ver solo las horas de sus equipos, mientras que la interfaz web restringe correctamente estos datos. Esto permite que información sensible de seguimiento de tiempo sea accedida por usuarios no autorizados a través de la API.

Detalle técnico

Existe una inconsistencia en la verificación de permisos entre la interfaz y la API de Kimai para el permiso `view_other_timesheet`. El endpoint de la API falla al aplicar el filtrado basado en equipos al retornar entradas de horas, permitiendo que usuarios autenticados con este permiso obtengan todas las horas independientemente de la participación en equipos, mientras que la interfaz web restringe correctamente la visibilidad. La vulnerabilidad afecta la confidencialidad de los datos de seguimiento de tiempo de la aplicación.

Resumen generado y traducido por IA a partir de la descripción oficial.

Kimai is a web-based multi-user time-tracking application. The permission `view_other_timesheet` performs differently for the Kimai UI and the API, thus returning unexpected data through the API. When setting the `view_other_timesheet` permission to true, on the frontend, users can only see timesheet entries for teams they are a part of. When requesting all timesheets from the API, however, all timesheet entries are returned, regardless of whether the user shares team permissions or not. This vulnerability is fixed in 2.13.0.

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Productos afectados

kimai · kimai

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/kimai/kimai/security/advisories/GHSA-cj3c-5xpm-cx94