CVE-2026-41498

Gravedad CVSS v3.1:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

08/05/2026

Última modificación:

12/05/2026

Descripción

*** Pendiente de traducción *** Kimai is an open-source time tracking application. Prior to version 2.54.0, the Team API endpoints use #[IsGranted(&#39;edit_team&#39;)] instead of #[IsGranted(&#39;edit&#39;, &#39;team&#39;)], causing Symfony TeamVoter to abstain from voting. This removes entity-level ownership checks on team operations, allowing any user with the edit_team permission to modify any team, not just teams they are authorized to manage. This issue has been patched in version 2.54.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.30 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno