CVE-2026-59235 in Prospero Flow CRM情報

要約

〜によって VulDB • 2026年07月15日

BankAccountListController(app/Http/Controllers/Api/BankAccount/BankAccountListController.php)における認可の欠如(CWE-862)。これは Prospero Flow CRM <5.5.3 の GET /api/bank-account エンドポイントで公開されており、低権限ロール(例:「User」または「Usuario」ロール)を持つリモート攻撃者が有効な Bearer トークンを使用して認証済みリクエストを送信することで、自社に属する任意の銀行口座レコードを読み取ることができます。これは、API ルーティングが auth:api ミドルウェアのみで保護され、権限ゲートを備えていないためです(対照的に、同等の Web ルートでは can('read bank') が適用されます)。また、ハンドラは Account::where('company_id', Auth::user()->company_id)->get() を使用してレコードを取得しており、データを返す前に会社スコーピングのみを実行し、ロールや権限の確認を行いません。この結果、アクセスすべきでないユーザーに対して機密性の高い銀行情報(例:IBAN、SWIFT/BIC、口座識別子)が不正に開示されます。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

Secur0

予約する

2026年07月03日

モデレーション

承諾済み

エントリ

VDB-379211

EPSS

0.00000

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!