CVE-2026-59236 in Prospero Flow CRMالمعلومات

الملخص

بحسب VulDB • 15/07/2026

تجاوز التفويض عبر مفتاح يتحكم فيه المستخدم (CWE-639) في معالجات استيراد ملفات Excel (CustomerImport، LeadImport، ProductImport) الموجودة في Roskus Prospero Flow CRM قبل الإصدار 5.14.0 تتيح لمستخدم عن بُعد ومصادق عليه من أي دور أو شركة إنشاء سجلات للعملاء والفرص ومنتجات داخل مستأجر لشركة أخرى عبر ملف جدول بيانات تكون عمود company_id فيه يشير إلى المستأجر الضحية، وذلك برفع الملف على POST /customer/import/excel/save، والذي يقوم بنسخ قيمة company_id مباشرةً من الملف دون إجراء أي تحقق للتأكد من مطابقتها لشركة المستخدم المصادق عليه.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

Secur0

حجز

03/07/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379213

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!