← voltar
CVE-2026-40479

Kimai: Stored XSS via Incomplete HTML Attribute Escaping in Team Member Widget

CVSS 5.4 MEDIUMEPSS 0.2%CWE-79
Em resumo

O Kimai tem uma falha de segurança onde nomes de usuários não são escapados corretamente ao serem exibidos em formulários, permitindo que atacantes injetem código malicioso que executa quando administradores visualizam a página. Um atacante com acesso de usuário comum pode armazenar esse código para roubar credenciais de admin ou realizar ações como administrador.

Detalhe técnico

A função escapeForHtml() no arquivo KimaiEscape.js não escapa caracteres de aspas (simples e dupla), permitindo injeção de atributos HTML quando aliases de usuários são renderizados via innerHTML no widget de membros da equipe. Um atacante autenticado com ROLE_USER pode criar um alias malicioso contendo payloads JavaScript que executam no contexto do navegador de um administrador, alcançando XSS armazenado e escalação de privilégio.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Kimai is an open-source time tracking application. In versions 1.16.3 through 2.52.0, the escapeForHtml() function in KimaiEscape.js does not escape double quote or single quote characters. When a user's profile alias is inserted into an HTML attribute context via the team member form prototype and rendered through innerHTML, this incomplete escaping allows HTML attribute injection. An authenticated user with ROLE_USER privileges can store a malicious alias that executes JavaScript in the browser of any administrator viewing the team form, resulting in stored XSS with privilege escalation. This issue has been fixed in version 2.53.0.
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Produtos afetados
kimai · kimai

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/kimai/kimai/releases/tag/2.53.0https://github.com/kimai/kimai/security/advisories/GHSA-g82g-m9vx-vhjg