CVE-2026-40479

Kimai: Stored XSS via Incomplete HTML Attribute Escaping in Team Member Widget

CVSS 5.4 MEDIUMEPSS 0.2%CWE-79

En resumen

Kimai tiene una falla de seguridad donde los nombres de usuario no se escapan correctamente al mostrarse en formularios, permitiendo que atacantes inyecten código malicioso que se ejecuta cuando administradores ven la página. Un atacante con acceso de usuario común puede almacenar este código para robar credenciales de admin o realizar acciones como administrador.

Detalle técnico

La función escapeForHtml() en el archivo KimaiEscape.js no escapa caracteres de comillas (simples y dobles), permitiendo inyección de atributos HTML cuando aliases de usuarios se renderizan vía innerHTML en el widget de miembros del equipo. Un atacante autenticado con ROLE_USER puede crear un alias malicioso que contenga payloads JavaScript que se ejecuten en el contexto del navegador de un administrador, logrando XSS almacenado y escalación de privilegios.

Resumen generado y traducido por IA a partir de la descripción oficial.

Kimai is an open-source time tracking application. In versions 1.16.3 through 2.52.0, the escapeForHtml() function in KimaiEscape.js does not escape double quote or single quote characters. When a user's profile alias is inserted into an HTML attribute context via the team member form prototype and rendered through innerHTML, this incomplete escaping allows HTML attribute injection. An authenticated user with ROLE_USER privileges can store a malicious alias that executes JavaScript in the browser of any administrator viewing the team form, resulting in stored XSS with privilege escalation. This issue has been fixed in version 2.53.0.

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Productos afectados

kimai · kimai

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/kimai/kimai/releases/tag/2.53.0 https://github.com/kimai/kimai/security/advisories/GHSA-g82g-m9vx-vhjg