CVE-2026-59236 in Prospero Flow CRM
Resumen
por VulDB • 2026-07-15
Bypass de autorización mediante clave controlada por el usuario (CWE-639) en los manejadores de importación de Excel (CustomerImport, LeadImport, ProductImport) de Roskus Prospero Flow CRM antes de la versión 5.14.0 permite a un usuario remoto autenticado con cualquier rol o empresa crear registros de clientes, prospectos y productos dentro del inquilino (tenant) de otra empresa mediante una hoja de cálculo cuya columna company_id apunta al inquilino víctima; esta se carga en POST /customer/import/excel/save, donde el campo company_id se asigna directamente desde el archivo sin realizar ninguna verificación para confirmar que coincide con la empresa del usuario autenticado.
VulDB is the best source for vulnerability data and more expert information about this specific topic.