Kimai का यूजर प्रेफरेंसेस API मानक उपयोगकर्ताओं को प्रतिबंधित विशेषताओं (hourly_rate, internal_rate) को संशोधित करने की अनुमति देता है
प्लेटफ़ॉर्म
php
घटक
kimai
में ठीक किया गया
2.53.1
2.53.0
CVE-2026-40486 describes a Broken Object Property Level Authorization (BOPA) vulnerability within the Kimai time tracking software. This flaw allows authenticated users, even those with limited privileges, to arbitrarily modify sensitive financial attributes on their user profiles, specifically the hourlyrate and internalrate. The vulnerability affects Kimai versions 1.0.0 up to, but not including, 2.53.0, and a fix is available in version 2.5.4.
प्रभाव और हमले की स्थितियाँ
Kimai में CVE-2026-40486 एक Mass Assignment / Broken Object Property Level Authorization (BOPA) भेद्यता है। यह प्रमाणित उपयोगकर्ताओं को, यहां तक कि सबसे कम विशेषाधिकार वाले उपयोगकर्ताओं को भी, उनके प्रोफाइल में प्रतिबंधित वित्तीय विशेषताओं को मनमाने ढंग से संशोधित करने की अनुमति देता है, विशेष रूप से hourlyrate (प्रति घंटा दर) और internalrate (आंतरिक दर) पैरामीटर। हालांकि Kimai आमतौर पर मानक GUI प्रवाह के माध्यम से इन पैरामीटर तक पहुंच को प्रतिबंधित करता है, यह भेद्यता उन सुरक्षा उपायों को दरकिनार कर देती है। इससे बिलिंग गणना में त्रुटियां, भुगतान में विसंगतियां और वित्तीय रिपोर्टिंग में गलतियां हो सकती हैं, जिससे डेटा अखंडता प्रभावित हो सकती है और संभावित रूप से वित्तीय नुकसान हो सकता है। भेद्यता की गंभीरता इस तथ्य से उत्पन्न होती है कि एक दुर्भावनापूर्ण उपयोगकर्ता इसे आसानी से शोषण कर सकता है, केवल प्रमाणीकरण की आवश्यकता होती है।
शोषण संदर्भ
यह भेद्यता उपयोगकर्ता वरीयता API के माध्यम से शोषण की जाती है। एक प्रमाणित उपयोगकर्ता hourlyrate और internalrate के संशोधित मूल्यों वाले डेटा के साथ API को POST अनुरोध भेज सकता है। अपर्याप्त प्राधिकरण सत्यापन के कारण, अनुरोध इस बात की जांच किए बिना संसाधित किया जाता है कि उपयोगकर्ता के पास इन फ़ील्ड को संशोधित करने का अधिकार है या नहीं। इसे curl या Postman जैसे उपकरणों का उपयोग करके स्वचालित किया जा सकता है। इस भेद्यता के लिए प्रमाणित उपयोगकर्ता क्रेडेंशियल के अलावा किसी भी अतिरिक्त गोपनीय जानकारी की आवश्यकता नहीं होती है।
कौन जोखिम में हैअनुवाद हो रहा है…
Organizations utilizing Kimai for time tracking, particularly those with a large number of users or complex billing structures, are at risk. Specifically, deployments with relaxed role-based access controls or shared hosting environments where user privileges are not carefully managed are more vulnerable.
पहचान के चरणअनुवाद हो रहा है…
• php: Examine Kimai application logs for unusual API requests targeting the user profile modification endpoints (e.g., /api/user/preferences).
• generic web: Monitor access logs for POST requests to /api/user/preferences originating from authenticated users with limited privileges.
• generic web: Check Kimai configuration files for any misconfigured access controls related to user profile modification.
हमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
- Confidentiality
- कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
- Integrity
- निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
- Availability
- कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।
प्रभावित सॉफ्टवेयर
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंड
इस भेद्यता के लिए समाधान Kimai को संस्करण 2.5.4 या उच्चतर में अपग्रेड करना है। यह अपडेट उपयोगकर्ता वरीयता API में अनुचित प्राधिकरण को ठीक करता है, जिससे उपयोगकर्ताओं को उचित प्राधिकरण के बिना hourlyrate और internalrate को संशोधित करने से रोका जा सकता है। जोखिम को कम करने के लिए अपडेट को यथाशीघ्र लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, दरों को संशोधित करने के लिए केवल वैध आवश्यकताओं वाले उपयोगकर्ताओं को ही पहुंच है यह सुनिश्चित करने के लिए उपयोगकर्ता अनुमति कॉन्फ़िगरेशन की समीक्षा करें। सिस्टम गतिविधि लॉग की निगरानी से शोषण प्रयासों का पता लगाने में मदद मिल सकती है।
कैसे ठीक करेंअनुवाद हो रहा है…
Actualice Kimai a la versión 2.53.0 o superior para evitar que los usuarios estándar modifiquen las tarifas de facturación. Esta actualización corrige la vulnerabilidad al verificar correctamente las restricciones de permisos antes de guardar las preferencias del usuario.
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवाल
CVE-2026-40486 क्या है — Kimai में Privilege Escalation?
BOPA का मतलब Broken Object Property Level Authorization है। यह एक प्रकार की भेद्यता है जो तब होती है जब किसी ऑब्जेक्ट के गुणों के स्तर पर प्राधिकरण सही ढंग से लागू नहीं किया जाता है, जिससे उपयोगकर्ताओं को डेटा बदलने की अनुमति मिलती है जिसे उन्हें नहीं बदलना चाहिए।
क्या मैं Kimai में CVE-2026-40486 से प्रभावित हूं?
यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो सख्त पहुंच नियंत्रण लागू करने और संदिग्ध गतिविधि के लिए सिस्टम लॉग की निगरानी करने पर विचार करें।
Kimai में CVE-2026-40486 को कैसे ठीक करें?
हाँ, 2.5.4 से पहले के संस्करणों का उपयोग करने वाले सभी Kimai इंस्टॉलेशन भेद्य हैं।
क्या CVE-2026-40486 का सक्रिय रूप से शोषण किया जा रहा है?
ऑडिट लॉग की जांच करें और उपयोगकर्ताओं की प्रति घंटा या आंतरिक दरों में असामान्य परिवर्तनों की तलाश करें। वर्तमान डेटा की तुलना पिछले बैकअप से करें।
CVE-2026-40486 के लिए Kimai का आधिकारिक सुरक्षा सलाह कहां मिलेगी?
विस्तृत अपग्रेड निर्देशों के लिए Kimai वेबसाइट पर Kimai 2.5.4 रिलीज़ नोट्स देखें।
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।