CVE-2026-23626Kimai是一款基于Web的多用户时间追踪应用程序。2026年1月披露的安全漏洞显示,在2.46.0版本之前,Kimai的导出功能使用了配置过于宽松的Twig沙盒安全策略(DefaultPolicy),允许对模板上下文中可用的对象执行任意方法调用。这一安全缺陷使得具有导出权限的认证用户能够部署恶意Twig模板,从而提取系统敏感信息,包括:环境变量(可能包含数据库凭证、API密钥等)、所有用户的密码哈希值、序列化的会话令牌以及CSRF令牌。攻击者利用获取的敏感信息可进一步实施账户接管、数据窃取或横向移动等攻击。该漏洞的CVSS评分为6.8,属于中等严重等级,攻击向量为网络,无需用户交互,但需要高权限(具有导出权限的认证用户)。由于漏洞利用门槛相对较低,建议受影响的用户尽快升级到2.46.0或更高版本以修复此安全问题。
Kimai 2.46.0之前版本中的Twig模板引擎使用了默认安全策略(DefaultPolicy),该策略存在过度宽松的权限配置。在导出功能模块中,攻击者可以通过构造特殊的Twig模板,利用模板上下文中的对象执行任意方法调用。例如,攻击者可以访问request对象获取环境变量、访问user对象获取用户密码哈希、访问session对象获取序列化会话数据,甚至可以调用__toString()等魔术方法绕过沙盒限制。Twig沙盒扩展本应用于限制模板中可执行的操作,但DefaultPolicy未能有效约束敏感方法的调用。攻击者通过{{ user.password }}或{{ app.request.server.all() }}等语法即可提取服务器敏感配置和用户凭证。值得注意的是,攻击者需要具备有效的认证会话以及导出功能的使用权限,这限制了该漏洞的利用范围,但具有相应权限的恶意内部用户仍可利用此漏洞进行数据窃取。修复方案在版本2.46.0中重新配置了Twig沙盒的安全策略,严格限制可调用的方法和属性。