CVE-2026-42279
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/05/2026
Última modificación:
08/05/2026
Descripción
*** Pendiente de traducción *** solidtime is an open-source time-tracking app. In version 0.12.0, the PUT /api/v1/organizations/{organization}/time-entries/{timeEntry} API accepts a route-bound timeEntry from another organization when the caller has time-entries:update:all in the URL organization, allowing a known foreign time-entry UUID to be modified and rebound to objects in the caller's organization. This issue has been patched in version 0.12.1.
Impacto
Puntuación base 3.x
5.80
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:solidtime:solidtime:0.12.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/solidtime-io/solidtime/commit/b73aa543fdf5b61c37447307ab7277451296832c
- https://github.com/solidtime-io/solidtime/releases/tag/v0.12.1
- https://github.com/solidtime-io/solidtime/security/advisories/GHSA-pmf9-pxq9-ccwr
- https://github.com/solidtime-io/solidtime/security/advisories/GHSA-pmf9-pxq9-ccwr