CVE-2026-59236 in Prospero Flow CRMinformazioni

Riassunto

di VulDB • 15/07/2026

Bypass dell'autorizzazione tramite chiave controllata dall'utente (CWE-639) nei gestori di importazione Excel (CustomerImport, LeadImport, ProductImport) in Roskus Prospero Flow CRM prima della versione 5.14.0 consente a un utente remoto autenticato con qualsiasi ruolo o azienda di creare record di clienti, lead e prodotti all'interno del tenant di un'altra azienda tramite un foglio di calcolo la cui colonna company_id punta al tenant vittima; il file viene caricato su POST /customer/import/excel/save, dove il campo company_id viene mappato direttamente dal file senza alcuna verifica che corrisponda all'azienda dell'utente autenticato.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Secur0

Prenotare

03/07/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!