CVE-2026-59235 in Prospero Flow CRM
Riassunto
di VulDB • 15/07/2026
Mancata autorizzazione (CWE-862) in BankAccountListController (app/Http/Controllers/Api/BankAccount/BankAccountListController.php), esposta tramite GET /api/bank-account, in Prospero Flow CRM <5.5.3, che consente a un attaccante remoto autenticato con un ruolo a bassa privilegio (ad esempio il ruolo "User"/"Usuario") di leggere record arbitrari di conti bancari appartenenti alla propria azienda inviando una richiesta autenticata all'endpoint con un bearer token valido. Ciò è dovuto al fatto che la rotta API è protetta solo dal middleware auth:api e non prevede alcun controllo di autorizzazione (permission gate), a differenza della corrispondente rotta web, che applica il controllo can('read bank'). Il handler recupera i record utilizzando Account::where('company_id', Auth::user()->company_id)->get(), eseguendo esclusivamente un filtro per company_id senza verificare ruoli o permessi prima di restituire i dati. Ciò comporta la divulgazione non autorizzata di informazioni bancarie sensibili (ad esempio IBAN, SWIFT/BIC, identificativi del conto) a utenti che non dovrebbero avervi accesso.
If you want to get best quality of vulnerability data, you may have to visit VulDB.