CVE-2026-59236 in Prospero Flow CRM정보

요약

\~에 의해 VulDB • 2026. 07. 15.

Roskus Prospero Flow CRM 5.14.0 이전 버전의 Excel 내보내기 핸들러(CustomerImport, LeadImport, ProductImport)에서 사용자 제어 키를 통한 권한 우회(CWE-639) 취약점으로 인해, 모든 역할 또는 회사의 원격 인증 사용자는 스프레드시트의 company_id 열이 대상 테넌트를 가리키도록 하여 POST /customer/import/excel/save에 업로드함으로써 다른 회사의 테넌트 내부에 고객, 리드 및 제품 레코드를 생성할 수 있습니다. 이 엔드포인트는 파일에서 company_id를 직접 매핑하며 인증된 사용자의 회사와 일치하는지 확인하지 않습니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

책임이 있는

Secur0

예약하다

2026. 07. 03.

모더레이션

수락

항목

VDB-379213

EPSS

0.00000

활동

낮음

출처

Do you need the next level of professionalism?

Upgrade your account now!