Kimai — это многопользовательское веб-приложение для учета рабочего времени. До версии 2.51.0 GET /api/invoices/{id} только проверяет разрешение view_invoice на основе роли, но не проверяет, имеет ли запрашивающий пользователь доступ к клиенту счета. Любой пользователь с ROLE_TEAMLEAD (который предоставляет view_invoice) может читать все счета в системе, включая счета, принадлежащие клиентам, назначенным другим командам.
Эта проблема исправлена в версии 2.51.0.
Показать оригинальное описание (EN)
Kimai is a web-based multi-user time-tracking application. Prior to version 2.51.0, "GET /api/invoices/{id}" only checks the role-based view_invoice permission but does not verify the requesting user has access to the invoice's customer. Any user with ROLE_TEAMLEAD (which grants view_invoice) can read all invoices in the system, including those belonging to customers assigned to other teams. This issue has been patched in version 2.51.0.
Характеристики атаки
Последствия
Строка CVSS v3.1