Katalog CVE

CVE-2026-59234

ŚrednieCVSS 6.9
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w Prospero Flow CRM przed wersją 5.5.3 umożliwia uwierzytelnionemu atakującemu usunięcie dowolnych wydarzeń kalendarza innych użytkowników poprzez manipulację parametrem {id} w żądaniu GET do /calendar/event/delete/{id}. Brak kontroli własności (user_id/company_id) przed usunięciem pozwala na nieautoryzowane niszczenie danych.

Ocena ryzyka

Organizacja narażona jest na utratę integralności danych kalendarza, co może zakłócić planowanie i współpracę zespołową, a także prowadzić do naruszenia poufności poprzez ujawnienie harmonogramów innych użytkowników.

Rekomendacja

Należy natychmiast zaktualizować Prospero Flow CRM do wersji 5.5.3 lub nowszej, która zawiera poprawkę usuwającą podatność. Dodatkowo warto wdrożyć mechanizmy kontroli dostępu na poziomie aplikacji dla wszystkich operacji na zasobach.

Oryginalny opis (angielski, źródło NVD)

Authorization Bypass Through User-Controlled Key (CWE-639) in CalendarDeleteEventController (app/Http/Controllers/Calendar/CalendarDeleteEventController.php), exposed at GET /calendar/event/delete/{id}, in Prospero Flow CRM before 5.5.3 allows a remote, authenticated attacker to delete arbitrary calendar events belonging to other users by manipulating the {id} path parameter, because the delete handler resolves the record with Calendar::find($id)->delete() and performs no ownership check (no user_id/company_id scoping) before deletion. This results in unauthorized destruction of other users' calendar events across the platform.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS