CVE-2026-59236 in Prospero Flow CRM
요약
\~에 의해 VulDB • 2026. 07. 15.
Roskus Prospero Flow CRM 5.14.0 이전 버전의 Excel 내보내기 핸들러(CustomerImport, LeadImport, ProductImport)에서 사용자 제어 키를 통한 권한 우회(CWE-639) 취약점으로 인해, 모든 역할 또는 회사의 원격 인증 사용자는 스프레드시트의 company_id 열이 대상 테넌트를 가리키도록 하여 POST /customer/import/excel/save에 업로드함으로써 다른 회사의 테넌트 내부에 고객, 리드 및 제품 레코드를 생성할 수 있습니다. 이 엔드포인트는 파일에서 company_id를 직접 매핑하며 인증된 사용자의 회사와 일치하는지 확인하지 않습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.