| タイトル | Kimai projectのKimaiにおける動的に決定されたオブジェクト属性の不適切に制御された変更に関する脆弱性 |
|---|---|
| 概要 | Kimaiはオープンソースのタイムトラッキングアプリケーションです。バージョン2.52.0以下において、ユーザープリファレンスのAPIエンドポイント(PATCH /api/users/{id}/preferences)は、プリファレンスオブジェクトのisEnabled()フラグを確認せずに送信されたプリファレンス値を適用してしまいます。hourly_rateおよびinternal_rateフィールドは、hourly-rateロール権限を持たないユーザーに対して正しく無効としてマークされていますが、APIはこの制限を無視して値を直接保存します。これにより、認証された任意のユーザーがこのエンドポイントを通じて自分自身の請求レートを変更でき、不正な財務改ざんが請求書やタイムシートの計算に影響を及ぼす可能性があります。この問題はバージョン2.53.0で修正されました。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月17日0:00 |
| 登録日 | 2026年4月30日12:28 |
| 最終更新日 | 2026年4月30日12:28 |
| CVSS3.0 : 警告 | |
| スコア | 4.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
| Kimai project |
| Kimai 2.53.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
2026年4月30日12:28 |
| 概要 | Kimai is an open-source time tracking application. In versions 2.52.0 and below, the User Preferences API endpoint (PATCH /api/users/{id}/preferences) applies submitted preference values without checking the isEnabled() flag on preference objects. Although the hourly_rate and internal_rate fields are correctly marked as disabled for users lacking the hourly-rate role permission, the API ignores this restriction and saves the values directly. Any authenticated user can modify their own billing rates through this endpoint, resulting in unauthorized financial tampering affecting invoices and timesheet calculations. This issue has been fixed in version 2.53.0. |
|---|---|
| 公表日 | 2026年4月18日8:16 |
| 登録日 | 2026年4月19日4:08 |
| 最終更新日 | 2026年4月21日4:03 |