CVE-2026-59234
ŚrednieCVSS 6.9Streszczenie
Podatność w Prospero Flow CRM przed wersją 5.5.3 umożliwia uwierzytelnionemu atakującemu usunięcie dowolnych wydarzeń kalendarza innych użytkowników poprzez manipulację parametrem {id} w żądaniu GET do /calendar/event/delete/{id}. Brak kontroli własności (user_id/company_id) przed usunięciem pozwala na nieautoryzowane niszczenie danych.
Ocena ryzyka
Organizacja narażona jest na utratę integralności danych kalendarza, co może zakłócić planowanie i współpracę zespołową, a także prowadzić do naruszenia poufności poprzez ujawnienie harmonogramów innych użytkowników.
Rekomendacja
Należy natychmiast zaktualizować Prospero Flow CRM do wersji 5.5.3 lub nowszej, która zawiera poprawkę usuwającą podatność. Dodatkowo warto wdrożyć mechanizmy kontroli dostępu na poziomie aplikacji dla wszystkich operacji na zasobach.
Oryginalny opis (angielski, źródło NVD)
Authorization Bypass Through User-Controlled Key (CWE-639) in CalendarDeleteEventController (app/Http/Controllers/Calendar/CalendarDeleteEventController.php), exposed at GET /calendar/event/delete/{id}, in Prospero Flow CRM before 5.5.3 allows a remote, authenticated attacker to delete arbitrary calendar events belonging to other users by manipulating the {id} path parameter, because the delete handler resolves the record with Calendar::find($id)->delete() and performs no ownership check (no user_id/company_id scoping) before deletion. This results in unauthorized destruction of other users' calendar events across the platform.

