Unknown · Prospero Flow Crm · CVE-2026-59235
**Nome do Software Vulnerável e Versões Afetadas**
Prospero Flow CRM versões anteriores a 5.5.3
**Description**
Uma falha de autorização existe no `BankAccountListController` (app/Http/Controllers/Api/BankAccount/BankAccountListController.php) no endpoint GET '/api/bank-account'. Um atacante remoto autenticado com uma função de baixo privilégio, como Usuário, pode ler registros arbitrários de contas bancárias pertencentes à sua empresa. Isso ocorre porque a rota da API é protegida apenas pelo middleware `auth:api` e carece de um controle de permissão, ao contrário da rota web que impõe a verificação `can('read bank')`. O manipulador utiliza `Account::where('company id', Auth::user()->company id)->get()`, que aplica apenas o escopo da empresa sem verificar a função ou as permissões do usuário. Isso resulta na divulgação não autorizada de dados bancários sensíveis, incluindo IBAN, SWIFT/BIC e identificadores de conta.
**Recommendations**
Atualize o Prospero Flow CRM para a versão 5.5.3 ou posterior.
Como medida de mitigação temporária, restrinja o acesso ao endpoint '/api/bank-account' apenas a funções administrativas autorizadas.