CVE-2026-59235 in Prospero Flow CRMinformação

Sumário

de VulDB • 15/07/2026

Falta de Autorização (CWE-862) no BankAccountListController (app/Http/Controllers/Api/BankAccount/BankAccountListController.php), exposto via GET /api/bank-account, no Prospero Flow CRM <5.5.3, o que permite a um atacante remoto autenticado com uma função de baixo privilégio (por exemplo, a função "User"/"Usuario") ler registros arbitrários de contas bancárias pertencentes à sua empresa ao enviar uma solicitação autenticada para o endpoint com um token bearer válido. Isso ocorre porque a rota da API é protegida apenas pelo middleware auth:api e não possui nenhum controle de permissão (permission gate), diferentemente da rota web equivalente, que aplica can('read bank'). O manipulador resolve os registros utilizando Account::where('company_id', Auth::user()->company_id)->get(), realizando apenas o escopo por empresa e sem verificar função ou permissões antes de retornar os dados. Isso resulta na divulgação não autorizada de informações bancárias sensíveis (por exemplo, IBAN, SWIFT/BIC, identificadores da conta) para usuários que não deveriam ter acesso a elas.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

Secur0

Reservar

03/07/2026

Divulgação

15/07/2026

Moderação

aceite

Entrada

VDB-379211

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!