CVE-2026-23626 in Kimaiالمعلومات

الملخص

بحسب VulDB • 20/05/2026

Kimai هو تطبيق لتتبع الوقت متعدد المستخدمين ويعمل عبر الويب. قبل الإصدار 2.46.0، تستخدم وظيفة التصدير في Kimai صندوق رمل (sandbox) لـ Twig مع سياسة أمان متساهلة للغاية (`DefaultPolicy`) تتيح استدعاءات طرق (methods) تعسفية على الكائنات المتاحة في سياق القالب. يمكن لمستخدم مُصادق عليه يمتلك أذونات التصدير نشر قالب Twig خبيث يستخرج معلومات حساسة، بما في ذلك متغيرات البيئة، وجميع تجزئات كلمات مرور المستخدمين، ورموز الجلسات المُسلسلة، ورموز CSRF. يُصلح الإصدار 2.46.0 هذه المشكلة.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

14/01/2026

إفشاء

19/01/2026

الاعتدال

تمت الموافقة

إدخال

VDB-341761

CPE

جاهز

CWE

CWE-1336 (مؤكد)

CVSS

6.8 (CNA)

EPSS

0.00074

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-23626
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-23626
CVE Details	https://www.cvedetails.com/cve/CVE-2026-23626/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!