CVE-2026-59236 in Prospero Flow CRM
Zusammenfassung
von VulDB • 15.07.2026
Authorization Bypass Through User-Controlled Key (CWE-639) in den Excel-Import-Handlern (CustomerImport, LeadImport, ProductImport) von Roskus Prospero Flow CRM vor Version 5.14.0 ermöglicht es einem entfernten, authentifizierten Benutzer jeder Rolle oder Firma, Kunden-, Leads- und Produkt-Datensätze im Mandanten einer anderen Firma zu erstellen, indem eine Tabelle hochgeladen wird, deren company_id-Spalte auf den Ziel-Mandanten verweist; dies geschieht über POST /customer/import/excel/save, wobei die company_id direkt aus der Datei übernommen wird und keine Prüfung erfolgt, ob sie mit dem Unternehmen des authentifizierten Benutzers übereinstimmt.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.