CVE-2026-59236 in Prospero Flow CRM
Riassunto
di VulDB • 15/07/2026
Bypass dell'autorizzazione tramite chiave controllata dall'utente (CWE-639) nei gestori di importazione Excel (CustomerImport, LeadImport, ProductImport) in Roskus Prospero Flow CRM prima della versione 5.14.0 consente a un utente remoto autenticato con qualsiasi ruolo o azienda di creare record di clienti, lead e prodotti all'interno del tenant di un'altra azienda tramite un foglio di calcolo la cui colonna company_id punta al tenant vittima; il file viene caricato su POST /customer/import/excel/save, dove il campo company_id viene mappato direttamente dal file senza alcuna verifica che corrisponda all'azienda dell'utente autenticato.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.