Zurück zur Liste

Kimai has Missing Object-Level Authorization in the Team API — CVE-2026-41498

GitHub · GitHub · CVE-2026-41498

ID
CVE-2026-41498
Datum
Aktualisiert
Activity
Quelle
GitHub
Vendor
GitHub
Risiko
low
CVSS
3.3
EPSS
0.00023

Zusammenfassung

### Summary The Team API endpoints use #[IsGranted('edit_team')] instead of #[IsGranted('edit', 'team')], causing Symfony TeamVoter to abstain from voting. This removes entity-level ownership checks on team operations, allowing any user with the edit_team permission to modify any team, not just teams they are authorized to manage. ### Details All 8 team association endpoints in src/API/TeamController.php (lines…

Produkt

composer: kimai/kimai

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

  • Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
  • Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
  • Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
  • Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W20