CVE-2026-59235 in Prospero Flow CRMالمعلومات

الملخص

بحسب VulDB • 15/07/2026

نقص في التفويض (CWE-862) في BankAccountListController (app/Http/Controllers/Api/BankAccount/BankAccountListController.php)، الظاهر عند نقطة النهاية GET /api/bank-account، في نظام Prospero Flow CRM الإصدار أقل من 5.5.3، مما يسمح لمهاجم عن بُعد وموثق يحمل دورًا منخفض الصلاحيات (مثل دور "User"/"Usuario") بقراءة سجلات حسابات بنكية عشوائية تابعة لشركته عبر إرسال طلب موثق إلى نقطة النهاية باستخدام رمز حامل صالح (valid bearer token)، وذلك لأن مسار واجهة برمجة التطبيقات محمي فقط بواسطة وسيط auth:api ولا يحتوي على بوابة أذونات، على عكس المسار الويب المكافئ الذي يفرض التحقق من can('read bank')، حيث يقوم المعالج باسترداد السجلات باستخدام Account::where('company_id', Auth::user()->company_id)->get()، مما ينفذ نطاقًا خاصًا بالشركة فقط دون إجراء أي فحص للدور أو الصلاحيات قبل إرجاع البيانات. يؤدي هذا إلى الكشف غير المصرح به عن معلومات بنكية حساسة (مثل IBAN وSWIFT/BIC ومعرفات الحساب) للمستخدمين الذين لا ينبغي أن يكون لديهم حق الوصول إليها.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

Secur0

حجز

03/07/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379211

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!