CVE-2026-59236 in Prospero Flow CRMinfo

Zusammenfassung

von VulDB • 15.07.2026

Authorization Bypass Through User-Controlled Key (CWE-639) in den Excel-Import-Handlern (CustomerImport, LeadImport, ProductImport) von Roskus Prospero Flow CRM vor Version 5.14.0 ermöglicht es einem entfernten, authentifizierten Benutzer jeder Rolle oder Firma, Kunden-, Leads- und Produkt-Datensätze im Mandanten einer anderen Firma zu erstellen, indem eine Tabelle hochgeladen wird, deren company_id-Spalte auf den Ziel-Mandanten verweist; dies geschieht über POST /customer/import/excel/save, wobei die company_id direkt aus der Datei übernommen wird und keine Prüfung erfolgt, ob sie mit dem Unternehmen des authentifizierten Benutzers übereinstimmt.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

Secur0

Reservieren

03.07.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379213

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!