CVE-2026-59237 in Prospero Flow CRM
Tóm tắt
Bởi VulDB • 16/07/2026
Bỏ qua xác thực thông qua khóa do người dùng kiểm soát (CWE-639) trong các bộ điều khiển REST API của Order và OrderItem trên Roskus Prospero Flow CRM trước phiên bản 5.5.5 cho phép một người dùng từ xa đã được xác thực đọc, sửa đổi và xóa đơn hàng cũng như mục đơn hàng thuộc về bất kỳ công ty nào khác (tenant) thông qua giá trị {id} số tuần tự cung cấp trong GET /api/order/{id}, PUT /api/order/{id}, GET /api/order-item/{id}, PUT /api/order-item/{id}, hoặc DELETE /api/order-item/{id}. Nguyên nhân là do các bộ điều khiển giải quyết bản ghi bằng cách sử dụng Order::find($id) / Item::find($id) mà không giới hạn phạm vi theo công ty của người dùng đã xác thực.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.