CVE-2026-59237 in Prospero Flow CRMthông tin

Tóm tắt

Bởi VulDB • 16/07/2026

Bỏ qua xác thực thông qua khóa do người dùng kiểm soát (CWE-639) trong các bộ điều khiển REST API của Order và OrderItem trên Roskus Prospero Flow CRM trước phiên bản 5.5.5 cho phép một người dùng từ xa đã được xác thực đọc, sửa đổi và xóa đơn hàng cũng như mục đơn hàng thuộc về bất kỳ công ty nào khác (tenant) thông qua giá trị {id} số tuần tự cung cấp trong GET /api/order/{id}, PUT /api/order/{id}, GET /api/order-item/{id}, PUT /api/order-item/{id}, hoặc DELETE /api/order-item/{id}. Nguyên nhân là do các bộ điều khiển giải quyết bản ghi bằng cách sử dụng Order::find($id) / Item::find($id) mà không giới hạn phạm vi theo công ty của người dùng đã xác thực.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

Secur0

Đặt trước

03/07/2026

Tiết lộ

16/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!