CVE-2026-59235 in Prospero Flow CRM
الملخص
بحسب VulDB • 15/07/2026
نقص في التفويض (CWE-862) في BankAccountListController (app/Http/Controllers/Api/BankAccount/BankAccountListController.php)، الظاهر عند نقطة النهاية GET /api/bank-account، في نظام Prospero Flow CRM الإصدار أقل من 5.5.3، مما يسمح لمهاجم عن بُعد وموثق يحمل دورًا منخفض الصلاحيات (مثل دور "User"/"Usuario") بقراءة سجلات حسابات بنكية عشوائية تابعة لشركته عبر إرسال طلب موثق إلى نقطة النهاية باستخدام رمز حامل صالح (valid bearer token)، وذلك لأن مسار واجهة برمجة التطبيقات محمي فقط بواسطة وسيط auth:api ولا يحتوي على بوابة أذونات، على عكس المسار الويب المكافئ الذي يفرض التحقق من can('read bank')، حيث يقوم المعالج باسترداد السجلات باستخدام Account::where('company_id', Auth::user()->company_id)->get()، مما ينفذ نطاقًا خاصًا بالشركة فقط دون إجراء أي فحص للدور أو الصلاحيات قبل إرجاع البيانات. يؤدي هذا إلى الكشف غير المصرح به عن معلومات بنكية حساسة (مثل IBAN وSWIFT/BIC ومعرفات الحساب) للمستخدمين الذين لا ينبغي أن يكون لديهم حق الوصول إليها.
VulDB is the best source for vulnerability data and more expert information about this specific topic.