← voltar
CVE-2026-42267

Kimai: Formula Injection via tag names in XLSX export

CVSS 5.4 MEDIUMEPSS 0.2%CWE-1236
Em resumo

O Kimai permite criar tags com nomes contendo fórmulas (como =SUM(54+51)). Quando um administrador exporta planilhas para Excel, essas fórmulas são executadas automaticamente, podendo permitir manipulação de dados ou comportamentos inesperados.

Detalhe técnico

Vulnerabilidade de injeção de fórmula no Kimai 2.27.0–2.53.x via entrada de nome de tag no endpoint POST /api/tags. Usuários com ROLE_USER podem injetar strings de fórmula; ArrayFormatter.formatValue() não sanitiza nomes de tags antes de passar para OpenSpout, que converte strings com prefixo = em objetos FormulaCell no XLSX. A execução da fórmula ocorre no cliente quando o arquivo é aberto no Excel, permitindo execução de código ou manipulação de dados conforme o conteúdo da fórmula.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Kimai is an open-source time tracking application. From version 2.27.0 to before version 2.54.0, any ROLE_USER can create a tag with a formula string as its name (e.g. =SUM(54+51)) via POST /api/tags and assign it to a timesheet. When an admin exports timesheets to XLSX, ArrayFormatter.formatValue() joins tag names with implode() and returns the result unchanged. OpenSpout promotes any =-prefixed string to a FormulaCell, writing <f>SUM(54+51)</f> into the XLSX archive. Excel evaluates the formula when the file is opened. This issue has been patched in version 2.54.0.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:P
Produtos afetados
kimai · kimai

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/kimai/kimai/releases/tag/2.54.0https://github.com/kimai/kimai/security/advisories/GHSA-3xc2-h5r3-wv3r