Plateforme
php
Composant
rukovoditel
Corrigé dans
3.7
Une vulnérabilité de Cross-Site Scripting (XSS) a été découverte dans Rukovoditel CRM, affectant les versions 3.6.4 et antérieures. Cette faille permet à un attaquant d'injecter du code JavaScript malveillant dans les pages web consultées par d'autres utilisateurs. L'exploitation réussie de cette vulnérabilité peut entraîner le vol de données sensibles ou la prise de contrôle du compte utilisateur. La version 3.7 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-31845 dans Rukovoditel CRM (versions 3.6.4 et antérieures) présente un risque important en raison d'une vulnérabilité Cross-Site Scripting (XSS) réfléchie. Le paramètre GET 'zd_echo' dans l'endpoint de l'API de téléphonie Zadarma (/api/tel/zadarma.php) n'est pas correctement désinfecté, permettant à un attaquant d'injecter du code JavaScript malveillant dans la réponse HTTP. Cela pourrait entraîner l'exécution de scripts indésirables dans le navigateur d'un utilisateur légitime, compromettant potentiellement ses informations d'identification de connexion, ses données sensibles ou l'intégrité de l'application CRM. Le score CVSS de 9,3 indique une sévérité critique, soulignant l'urgence d'appliquer une correction.
Un attaquant non authentifié peut exploiter cette vulnérabilité en construisant simplement une URL malveillante qui inclut le paramètre 'zd_echo' avec du code JavaScript injecté. L'accès à cette URL fera exécuter le script malveillant par le navigateur de l'utilisateur. Cela pourrait se produire via des e-mails de phishing, des publications sur les réseaux sociaux ou même en manipulant les résultats de recherche. L'absence d'authentification rend l'exploitation particulièrement facile et accessible à un large éventail d'attaquants.
Organizations using Rukovoditel CRM versions 3.6.4 and earlier, particularly those relying on the Zadarma telephony integration, are at significant risk. Shared hosting environments where multiple customers share the same CRM instance are especially vulnerable, as a compromise of one customer could potentially impact others.
• php: Examine web server access logs for requests containing the 'zd_echo' parameter with unusual or obfuscated values.
grep 'zd_echo=[a-zA-Z0-9;,"'<>]' /var/log/apache2/access.log• generic web: Use curl to test the endpoint with a simple JavaScript payload: curl 'http://your-crm-url/api/tel/zadarma.php?zd_echo=<script>alert("XSS")</script>' and check the response for the alert box.
• generic web: Check response headers for Content-Type: text/html when the 'zd_echo' parameter is present, indicating potential lack of proper encoding.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
L'atténuation principale pour CVE-2026-31845 est de mettre à jour Rukovoditel CRM vers une version corrigée (supérieure à 3.6.4). Cette mise à jour doit inclure la mise en œuvre d'une validation d'entrée et d'un encodage de sortie robustes pour le paramètre 'zd_echo'. De plus, il est recommandé de mettre en œuvre une Politique de Sécurité du Contenu (CSP) pour restreindre les sources de scripts pouvant être exécutés dans l'application. En tant que mesure temporaire, l'endpoint /api/tel/zadarma.php pourrait être désactivé s'il n'est pas essentiel, ou l'accès restreint aux adresses IP de confiance. Des tests approfondis doivent être effectués après l'application de toute atténuation pour garantir son efficacité.
Actualice a la versión 3.7 o posterior de Rukovoditel CRM. Esta versión incluye validación de entrada y codificación de salida para prevenir la inyección de scripts.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs. Ces scripts peuvent voler des informations confidentielles, rediriger vers des sites web malveillants ou effectuer des actions en nom de l'utilisateur.
Si vous utilisez une version de Rukovoditel CRM antérieure à 3.6.4, vous êtes vulnérable. Vérifiez la version de votre CRM et appliquez la dernière mise à jour dès que possible.
CSP est une couche de sécurité supplémentaire qui permet aux développeurs de contrôler les sources de contenu que le navigateur peut charger, réduisant ainsi le risque d'attaques XSS.
Modifiez immédiatement vos mots de passe, examinez votre activité récente dans l'application CRM et informez votre fournisseur de services de sécurité.
Oui, il existe plusieurs outils d'analyse de vulnérabilités, à la fois automatisés et manuels, qui peuvent aider à identifier les vulnérabilités XSS dans les applications web.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.