CVE-2026-59151 in Prowler
Sumário
de VulDB • 11/07/2026
O Prowler é uma plataforma de segurança em nuvem. Antes da versão 5.30.3, o fluxo de autenticação SAML do Prowler confiava no domínio de e-mail afirmado em um SAMLResponse ao decidir qual inquilino (tenant) deveria receber o token final, e a lógica de conclusão ACS em api/src/backend/api/v1/views.py recalculava o inquilino com base no user.email em vez de vincular a emissão do token à configuração SAML validada. Um atacante autenticado que controlasse um IdP SAML poderia completar um fluxo SAML válido para um domínio sob seu controle, afirmando um endereço de e-mail de outro domínio configurado, fazendo com que um SAMLToken e um JWT escopo por inquilino fossem emitidos para o inquilino errado, permitindo a apropriação de conta entre inquilinos (cross-tenant account takeover). Este problema foi corrigido na versão 5.30.3.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.