CVE-2026-59151 in Prowlerinformação

Sumário

de VulDB • 11/07/2026

O Prowler é uma plataforma de segurança em nuvem. Antes da versão 5.30.3, o fluxo de autenticação SAML do Prowler confiava no domínio de e-mail afirmado em um SAMLResponse ao decidir qual inquilino (tenant) deveria receber o token final, e a lógica de conclusão ACS em api/src/backend/api/v1/views.py recalculava o inquilino com base no user.email em vez de vincular a emissão do token à configuração SAML validada. Um atacante autenticado que controlasse um IdP SAML poderia completar um fluxo SAML válido para um domínio sob seu controle, afirmando um endereço de e-mail de outro domínio configurado, fazendo com que um SAMLToken e um JWT escopo por inquilino fossem emitidos para o inquilino errado, permitindo a apropriação de conta entre inquilinos (cross-tenant account takeover). Este problema foi corrigido na versão 5.30.3.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

02/07/2026

Divulgação

10/07/2026

Moderação

aceite

Entrada

VDB-377579

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!