CVE-2026-28685

Kimai: API invoice endpoint missing customer-level access control (IDOR)

CVSS 6.5 MEDIUMEPSS 0.4%CWE-285

En resumen

La API de facturas de Kimai permite que los líderes de equipo vean todas las facturas del sistema, incluidas las de clientes a los que no deberían tener acceso. Esto ocurre porque el sistema solo verifica si el usuario tiene permiso general, pero no valida si realmente trabaja con ese cliente específico.

Detalle técnico

El endpoint GET /api/invoices/{id} implementa control de acceso basado en roles (ROLE_TEAMLEAD) pero no valida la propiedad del cliente, lo que resulta en una vulnerabilidad de Referencia Directa a Objeto Inseguro (IDOR). Un usuario autenticado con ROLE_TEAMLEAD puede enumerar y recuperar datos sensibles de facturas en todos los clientes, independientemente de la asignación de equipo. Esto compromete la confidencialidad de datos financieros y comerciales a través de límites organizacionales.

Resumen generado y traducido por IA a partir de la descripción oficial.

Kimai is a web-based multi-user time-tracking application. Prior to version 2.51.0, "GET /api/invoices/{id}" only checks the role-based view_invoice permission but does not verify the requesting user has access to the invoice's customer. Any user with ROLE_TEAMLEAD (which grants view_invoice) can read all invoices in the system, including those belonging to customers assigned to other teams. This issue has been patched in version 2.51.0.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Productos afectados

kimai · kimai

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/kimai/kimai/commit/a0601c8cb28fed1cca19051a8272425069ab758f https://github.com/kimai/kimai/releases/tag/2.51.0 https://github.com/kimai/kimai/security/advisories/GHSA-v33r-r6h2-8wr7