IDOR en Prospero Flow CRM permite eliminar los eventos de calendario de otros usuarios
Descripción
Authorization Bypass Through User-Controlled Key (CWE-639) en CalendarDeleteEventController (app/Http/Controllers/Calendar/CalendarDeleteEventController.php), expuesto en GET /calendar/event/delete/{id}, en Prospero Flow CRM <5.5.3, que permite a un atacante remoto y autenticado eliminar eventos de calendario arbitrarios pertenecientes a otros usuarios manipulando el parámetro de ruta {id}, debido a que el manejador de borrado resuelve el registro con Calendar::find($id)->delete() sin realizar ninguna comprobación de propiedad (sin filtrado por user_id/company_id) antes de la eliminación. Esto resulta en la destrucción no autorizada de los eventos de calendario de otros usuarios en toda la plataforma.
Tipo de vulnerabilidad (CWE)
CWE-639: Authorization Bypass Through User-Controlled Key
Versiones afectadas
Prospero Flow CRM anteriores a 5.5.3 (todas las versiones anteriores a la 5.5.3). Estado por defecto: no afectado.
Puntuación (CVSS 4.0)
Media
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N
Solución
Actualizar a la versión 5.5.3 o superior.
Parche
Commit 8c26eed4
Créditos
- Robert Mihaila — finder (descubridor)
- Amirreza Fadaeizadeh Bidari — finder (descubridor)
- Xoán M. Otero Jorge — analyst (analista)
- Secur0 CNA — coordinator (coordinador)
- Gustavo Novaro — remediation developer (desarrollador de la corrección) Origen del descubrimiento: Externo
Registro oficial: CVE-2026-59234