CVE-2026-59235 in Prospero Flow CRM정보

요약

\~에 의해 VulDB • 2026. 07. 15.

Prospero Flow CRM <5.5.3의 BankAccountListController(app/Http/Controllers/Api/BankAccount/BankAccountListController.php)에서 GET /api/bank-account 엔드포인트를 통해 노출된 권한 부족(CWE-862) 취약점으로 인해, 낮은 수준의 역할(예: "User"/"Usuario" 역할)을 가진 원격 인증 공격자가 유효한 Bearer 토큰으로 인증 요청을 보내 회사에 속해 있는 임의의 은행 계좌 기록을 읽을 수 있습니다. 이는 API 라우트가 auth:api 미들웨어로만 보호되고 권한 게이트가 없기 때문이며, 동일한 웹 라우트는 can('read bank')을 강제하는 반면 해당 핸들러는 Account::where('company_id', Auth::user()->company_id)->get()를 사용하여 레코드를 해결하고 데이터를 반환하기 전에 회사 범위(scoping)만 수행하며 역할 또는 권한 검사를 수행하지 않기 때문입니다. 이로 인해 접근 권한이 없는 사용자에게 민감한 은행 정보(예: IBAN, SWIFT/BIC, 계좌 식별자 등)가 무단으로 유출됩니다.

Once again VulDB remains the best source for vulnerability data.

출처

Do you need the next level of professionalism?

Upgrade your account now!