製品・ソフトウェアに関する情報

JVN脆弱性詳細

Kimai projectのKimaiにおける動的に決定されたオブジェクト属性の不適切に制御された変更に関する脆弱性

Title	Kimai projectのKimaiにおける動的に決定されたオブジェクト属性の不適切に制御された変更に関する脆弱性
Summary	Kimaiはオープンソースのタイムトラッキングアプリケーションです。バージョン2.52.0以下において、ユーザープリファレンスのAPIエンドポイント（PATCH /api/users/{id}/preferences）は、プリファレンスオブジェクトのisEnabled()フラグを確認せずに送信されたプリファレンス値を適用してしまいます。hourly_rateおよびinternal_rateフィールドは、hourly-rateロール権限を持たないユーザーに対して正しく無効としてマークされていますが、APIはこの制限を無視して値を直接保存します。これにより、認証された任意のユーザーがこのエンドポイントを通じて自分自身の請求レートを変更でき、不正な財務改ざんが請求書やタイムシートの計算に影響を及ぼす可能性があります。この問題はバージョン2.53.0で修正されました。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 17, 2026, midnight
Registration Date	April 30, 2026, 12:28 p.m.
Last Update	April 30, 2026, 12:28 p.m.

CVSS3.0 : 警告
Score	4.3
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Affected System

Kimai project

Kimai 2.53.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40486	https://www.cve.org/CVERecord?id=CVE-2026-40486
National Vulnerability Database (NVD)
2	CVE-2026-40486	https://nvd.nist.gov/vuln/detail/CVE-2026-40486

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-915	https://cwe.mitre.org/data/definitions/915.html

ベンダー情報

No	Name	URL
GitHub
1	User Preferences API allows standard users to modify: hourly_rate, internal_rate Advisory kimai/kimai GitHub	https://github.com/kimai/kimai/security/advisories/GHSA-qh43-xrjm-4ggp

その他

No	Name	URL
関連文書
1	Release 2.53.0 kimai/kimai GitHub	https://github.com/kimai/kimai/releases/tag/2.53.0

Change Log

No	Changed Details	Date of change
1	[2026年04月30日] 掲載	April 30, 2026, 12:28 p.m.

NVD Vulnerability Information

CVE-2026-40486

Summary	Kimai is an open-source time tracking application. In versions 2.52.0 and below, the User Preferences API endpoint (PATCH /api/users/{id}/preferences) applies submitted preference values without checking the isEnabled() flag on preference objects. Although the hourly_rate and internal_rate fields are correctly marked as disabled for users lacking the hourly-rate role permission, the API ignores this restriction and saves the values directly. Any authenticated user can modify their own billing rates through this endpoint, resulting in unauthorized financial tampering affecting invoices and timesheet calculations. This issue has been fixed in version 2.53.0.
Publication Date	April 18, 2026, 8:16 a.m.
Registration Date	April 19, 2026, 4:08 a.m.
Last Update	April 21, 2026, 4:03 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/kimai/kimai/releases/tag/2.53.0	security-advisories@github.com
2	https://github.com/kimai/kimai/security/advisories/GHSA-qh43-xrjm-4ggp	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-915	動的に決定されたオブジェクト属性の不適切に制御された変更	https://cwe.mitre.org/data/definitions/915.html