CVE-2026-59234 ·
Media · 3 de julio de 2026

IDOR en Prospero Flow CRM permite eliminar los eventos de calendario de otros usuarios

S0
Secur0 CNA
CVE-2026-59234

Descripción

Authorization Bypass Through User-Controlled Key (CWE-639) en CalendarDeleteEventController (app/Http/Controllers/Calendar/CalendarDeleteEventController.php), expuesto en GET /calendar/event/delete/{id}, en Prospero Flow CRM <5.5.3, que permite a un atacante remoto y autenticado eliminar eventos de calendario arbitrarios pertenecientes a otros usuarios manipulando el parámetro de ruta {id}, debido a que el manejador de borrado resuelve el registro con Calendar::find($id)->delete() sin realizar ninguna comprobación de propiedad (sin filtrado por user_id/company_id) antes de la eliminación. Esto resulta en la destrucción no autorizada de los eventos de calendario de otros usuarios en toda la plataforma.

Tipo de vulnerabilidad (CWE)

CWE-639: Authorization Bypass Through User-Controlled Key

Versiones afectadas

Prospero Flow CRM anteriores a 5.5.3 (todas las versiones anteriores a la 5.5.3). Estado por defecto: no afectado.

Puntuación (CVSS 4.0)

Media

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N

Solución

Actualizar a la versión 5.5.3 o superior.

Parche

Commit 8c26eed4

Créditos

  • Robert Mihaila — finder (descubridor)
  • Amirreza Fadaeizadeh Bidari — finder (descubridor)
  • Xoán M. Otero Jorge — analyst (analista)
  • Secur0 CNA — coordinator (coordinador)
  • Gustavo Novaro — remediation developer (desarrollador de la corrección) Origen del descubrimiento: Externo

Registro oficial: CVE-2026-59234