nvd,anchore_overrides
Kimai
Уязвимости
21
Эксплуатируемые
0
Критический
3
Высокий
3
Топ уязвимостей
CVE-2020-19825Уязвимость межсайтового скриптинга (XSS) в kevinpapst kimai2 1.30.0 в /src/Twig/Runtime/MarkdownExtension.php позволяет злоумышленникам получать повышенные привилегии.
CVE-2013-10033В Kimai версии 0.9.2.x существует уязвимость SQL-инъекции, не требующая аутентификации, через конечную точку db_restore.php. Эта уязвимость позволяет злоумышленникам внедрять произвольные SQL-запросы в параметр dates[] POST-запроса, что дает возможность записать файл на диск с помощью INTO OUTFILE при определенных условиях среды. Это может привести к выполнению кода путем записи PHP-пayload в доступный из веб временный каталог [1].
Эксплуатация этой уязвимости возможна, поскольку файл db_restore.php доступен любому пользователю без аутентификации. Для успешной эксплуатации необходимо, чтобы конфигурация PHP имела включенный 'display_errors', Kimai был настроен на использование базы данных MySQL на localhost, а у пользователя MySQL были права на запись в директорию 'temporary' [2].
Источники:
- [1] https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/webapp/kimai_sqli.rb
- [2] https://www.exploit-db.com/exploits/30010
CVE-2021-3985kimai2 уязвим для некорректной нейтрализации ввода во время генерации веб-страницы ('Cross-site Scripting').
CVE-2023-53957Kimai 1.30.10 содержит уязвимость файлов cookie SameSite, которая позволяет злоумышленникам красть пользовательские файлы cookie посредством вредоносной эксплуатации. Злоумышленники могут обмануть жертв, выполнив созданный PHP-скрипт, который фиксирует и записывает информацию о файле сессионального файла в файл, что позволяет осуществлять потенциальный захват сеанса.
CVE-2021-43515CSV Injection (aka Excel Macro Injection or Formula Injection) существует при создании нового табеля учета рабочего времени в Kimai. Если заполнить поле Description вредоносной полезной нагрузкой, оно будет неправильно обработано при экспорте в CSV-файл.
CVE-2023-46245Kimai — это веб-приложение для отслеживания времени для нескольких пользователей. Версии до 2.1.0 уязвимы к Server-Side Template Injection (SSTI), что может быть переведено в Remote Code Execution (RCE). Уязвимость возникает, когда злоумышленный пользователь загружает специально созданный файл Twig, используя функциональность программного обеспечения для рендеринга PDF и HTML. Версия 2.1.0 включает меры безопасности для пользовательских шаблонов Twig.
CVE-2026-23626Kimai - это многопользовательское приложение для отслеживания времени. До версии 2.46.0 функция экспорта Kimai использует песочницу Twig с чрезмерно разрешительной политикой безопасности («DefaultPolicy»), которая позволяет выполнять произвольные вызовы метода на объектах, доступных в контексте шаблона. Аутентифицированный пользователь с разрешениями на экспорт может развернуть вредоносный шаблон Twig, который извлекает конфиденциальную информацию, включая переменные среды, все хэши паролей пользователя, сериализированные токены сеанса и токены CSRF. Версия 2.46.0 латирует эту проблему.
CVE-2026-28685Kimai - это многопользовательская программа отслеживания времени на основе Интернета. До версии 2.51.0 «GET /api/invoices/{id}» проверяет только разрешение на участие в голосовании view_invoice, но не проверяет, что запрашивающий пользователь имеет доступ к клиенту счета-фактуры. Любой пользователь с ROLE_TEAMLEAD (который предоставляет view_invoice) может прочитать все счета в системе, в том числе те, которые принадлежат клиентам, назначенным другим командам. Этот вопрос был исправлен в версии 2.51.0.
CVE-2024-4596Уязвимость была обнаружена в Kimai до 2.15.0 и классифицирована как проблематичная. Эта проблема затрагивает некоторую неизвестную функциональность компонента Session Handler. Манипуляция аргументом PHPSESSIONID приводит к раскрытию информации. Атака может быть начата удаленно. Сложность атаки довольно высока. Известно, что эксплуатация затруднена. Обновление до версии 2.16.0 позволяет решить эту проблему. Рекомендуется обновить затронутый компонент. Этой уязвимости присвоен идентификатор VDB-263318.
CVE-2024-29200Kimai — это веб-приложение для отслеживания времени для нескольких пользователей. Разрешение `view_other_timesheet` работает по-разному для пользовательского интерфейса Kimai и API, таким образом, возвращая неожиданные данные через API. Если для разрешения `view_other_timesheet` установлено значение true, во внешнем интерфейсе пользователи могут видеть только записи учета времени для команд, в которых они состоят. Однако при запросе всех расписаний из API возвращаются все записи расписаний, независимо от того, имеет ли пользователь разрешения команды или нет. Эта уязвимость исправлена в версии 2.13.0.
CVE-2021-4033kimai2 уязвим для межсайтовой подделки запросов (CSRF).
CVE-2021-3976kimai2 уязвим для Cross-Site Request Forgery (CSRF).
CVE-2019-15481Kimai v2 версии до 1.1 имеет XSS через описание расписания.
CVE-2026-42267Kimai - это приложение для отслеживания времени с открытым исходным кодом. От версии 2.27.0 до версии 2.54.0 любой ROLE_USER может создать тег со строкой формулы в качестве своего имени (например, =SUM(54+51)) через POST /api/теги и присваивайте его в таблицу времени. Когда администратор экспортирует таблицы времени в XLSX, ArrayFormatter.formatValue() присоединяется к именам тега с mlode() и возвращает результат без изменений. OpenSpout продвигает любую =-префиксированную строку в FormulaCell, записывая <f>SUM(54+51)</f> в архив XLSX. Excel оценивает формулу при открытии файла. Этот вопрос был исправлен в версии 2.54.0.
CVE-2026-40479Kimai - это приложение для отслеживания времени с открытым исходным кодом. В версиях от 1.16.3 до 2.52.0 функция escapeForHtml() в KimaiEscape.js не избегает символов двойной цитаты или одной цитаты. Когда псевдоним профиля пользователя вставляется в контекст атрибутов HTML через прототип формы члена команды и отображается через in innerHTML, это неполное побег позволяет инъекцию HTML атрибута. Аутентифицированный пользователь с привилегиями ROLE_USER может хранить вредоносный псевдоним, который выполняет JavaScript в браузере любого администратора, просматривающего форму команды, в результате чего хранится XSS с эскалацией привилегий. Эта проблема исправлена в версии 2.53.0.
CVE-2019-25317Kimai 2 содержит постоянную уязвимость сценариев, которая позволяет злоумышленникам вводить вредоносные скрипты в описания часов. Злоумышленники могут вставлять полезные нагрузки XSS на основе SVG в поле описания для выполнения произвольного JavaScript при загрузке и просмотре страницы другими пользователями.
CVE-2026-44298Kimai - это приложение для отслеживания времени с открытым исходным кодом. От версии 2.32.0 до версии 2.56.0 пользователи с ролью System-Admin (ROLE_SYSTE_ADMIN) и разрешением upload_invoice_template могут загружать шаблоны PDF-фактур, которые могут вызывать pdfContext.setOption('associated_files', ...) внутри песочкового рендера Twig. Это перенаправляется в mPDF SetAssociatedFiles(), автор которого звонит file_get_contents($entry['p)) во время выхода PDF и встраивается в байты в виде потока FlateDecode в PDF. Любой файл, читаемый работником PHP, возвращается злоумышленнику внутри выставленного счета. Этот вопрос был исправлен в версии 2.56.0.
CVE-2026-40486Kimai - это приложение для отслеживания времени с открытым исходным кодом. В версиях 2.52.0 и ниже конечная точка User Preferences API (PATCH /api/users/{id}/Preferences) применяет представленные значения предпочтений без проверки флага isEnabled() на объектах предпочтений. Хотя поля hourly_rate и intern_rate правильно помечены как отключенные для пользователей, не имеющих разрешения на почасовую ставку, API игнорирует это ограничение и сохраняет значения напрямую. Любой аутентифицированный пользователь может изменить свои собственные ставки выставления счетов через эту конечную точку, что приводит к несанкционированному финансовому взлому, затрагивающим счета и расчеты по тайм-листам. Эта проблема исправлена в версии 2.53.0.
CVE-2021-3963kimai2 уязвим для Cross-Site Request Forgery (CSRF).
CVE-2021-3957kimai2 уязвим для Cross-Site Request Forgery (CSRF).
CVE-2026-41498Kimai - это приложение для отслеживания времени с открытым исходным кодом. До версии 2.54.0 конечные точки Team API используют #[IsGranted('edit_team')] вместо #[IsGranted('edit', 'team')], в результате чего Symfony TeamVoter воздерживается от голосования. Это устраняет проверки собственности на уровне организации в командных операциях, позволяя любому пользователю с разрешением edit_team изменять любую команду, а не только команды, которыми они уполномочены управлять. Эта проблема была исправлена в версии 2.54.0.