CVE-2026-59235 in Prospero Flow CRM
要約
〜によって VulDB • 2026年07月15日
BankAccountListController(app/Http/Controllers/Api/BankAccount/BankAccountListController.php)における認可の欠如(CWE-862)。これは Prospero Flow CRM <5.5.3 の GET /api/bank-account エンドポイントで公開されており、低権限ロール(例:「User」または「Usuario」ロール)を持つリモート攻撃者が有効な Bearer トークンを使用して認証済みリクエストを送信することで、自社に属する任意の銀行口座レコードを読み取ることができます。これは、API ルーティングが auth:api ミドルウェアのみで保護され、権限ゲートを備えていないためです(対照的に、同等の Web ルートでは can('read bank') が適用されます)。また、ハンドラは Account::where('company_id', Auth::user()->company_id)->get() を使用してレコードを取得しており、データを返す前に会社スコーピングのみを実行し、ロールや権限の確認を行いません。この結果、アクセスすべきでないユーザーに対して機密性の高い銀行情報(例:IBAN、SWIFT/BIC、口座識別子)が不正に開示されます。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.