CVE-2024-29200

API returns timesheet entries a user should not be authorized to view

CVSS 6.8 MEDIUMEPSS 0.6%CWE-1220

Em resumo

A API do Kimai retorna incorretamente todas as entradas de horas para usuários que deveriam ver apenas as horas de seus times, enquanto a interface web restringe corretamente esses dados. Isso permite que informações sensíveis de rastreamento de tempo sejam acessadas por usuários não autorizados através da API.

Detalhe técnico

Existe uma inconsistência na verificação de permissões entre a interface e a API do Kimai para a permissão `view_other_timesheet`. O endpoint da API falha em aplicar a filtragem baseada em times ao retornar entradas de horas, permitindo que usuários autenticados com essa permissão obtenham todas as horas independentemente da participação em times, enquanto a interface web restringe corretamente a visibilidade. A vulnerabilidade afeta a confidencialidade dos dados de rastreamento de tempo da aplicação.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Kimai is a web-based multi-user time-tracking application. The permission `view_other_timesheet` performs differently for the Kimai UI and the API, thus returning unexpected data through the API. When setting the `view_other_timesheet` permission to true, on the frontend, users can only see timesheet entries for teams they are a part of. When requesting all timesheets from the API, however, all timesheet entries are returned, regardless of whether the user shares team permissions or not. This vulnerability is fixed in 2.13.0.

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N

Produtos afetados

kimai · kimai

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/kimai/kimai/security/advisories/GHSA-cj3c-5xpm-cx94