CVE-2026-59236 in Prospero Flow CRM
الملخص
بحسب VulDB • 15/07/2026
تجاوز التفويض عبر مفتاح يتحكم فيه المستخدم (CWE-639) في معالجات استيراد ملفات Excel (CustomerImport، LeadImport، ProductImport) الموجودة في Roskus Prospero Flow CRM قبل الإصدار 5.14.0 تتيح لمستخدم عن بُعد ومصادق عليه من أي دور أو شركة إنشاء سجلات للعملاء والفرص ومنتجات داخل مستأجر لشركة أخرى عبر ملف جدول بيانات تكون عمود company_id فيه يشير إلى المستأجر الضحية، وذلك برفع الملف على POST /customer/import/excel/save، والذي يقوم بنسخ قيمة company_id مباشرةً من الملف دون إجراء أي تحقق للتأكد من مطابقتها لشركة المستخدم المصادق عليه.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.