मुफ्त स्कैन करें
CRITICALCVE-2026-31845CVSS 9.3

Rukovoditel CRM संस्करण 3.6.4 और उससे पहले में Zadarma टेलीफोनी API एंडपॉइंट (/api/tel/zadarma.php) में एक परावर्तित क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता मौजूद है। एप्लिकेशन सीधे परावर्तित करता है

प्लेटफ़ॉर्म

php

घटक

rukovoditel

में ठीक किया गया

3.7

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-31845 एक रिफ्लेक्टेड क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो Rukovoditel CRM में मौजूद है। इस भेद्यता के कारण हमलावर दुर्भावनापूर्ण JavaScript कोड को इंजेक्ट कर सकता है, जिससे उपयोगकर्ता के ब्राउज़र में अनधिकृत क्रियाएं हो सकती हैं। यह भेद्यता Rukovoditel CRM के संस्करण 3.6.4 और उससे पहले के संस्करणों को प्रभावित करती है, और इसे संस्करण 3.7 में ठीक कर दिया गया है।

प्रभाव और हमले की स्थितियाँ

यह XSS भेद्यता हमलावर को उपयोगकर्ता के ब्राउज़र में मनमाना JavaScript कोड निष्पादित करने की अनुमति देती है। हमलावर उपयोगकर्ता को एक दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए प्रेरित कर सकता है, जो तब उपयोगकर्ता के सत्र को हाईजैक करने, संवेदनशील जानकारी चुराने या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने के लिए उपयोग किया जा सकता है। इस भेद्यता का उपयोग सत्र कुकीज़ को चुराने, उपयोगकर्ता के खाते पर नियंत्रण हासिल करने और अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। Zadarma टेलीफोनी API एंडपॉइंट (/api/tel/zadarma.php) में असुरक्षित इनपुट हैंडलिंग के कारण यह भेद्यता उत्पन्न होती है।

शोषण संदर्भ

CVE-2026-31845 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन सार्वजनिक रूप से उपलब्ध है। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हैं, जो इस भेद्यता के शोषण की संभावना को बढ़ाते हैं। NVD में प्रकाशन तिथि 2026-04-11 है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations using Rukovoditel CRM versions 3.6.4 and earlier, particularly those relying on the Zadarma telephony integration, are at significant risk. Shared hosting environments where multiple customers share the same CRM instance are especially vulnerable, as a compromise of one customer could potentially impact others.

पहचान के चरणअनुवाद हो रहा है…

• php: Examine web server access logs for requests containing the 'zd_echo' parameter with unusual or obfuscated values.

grep 'zd_echo=[a-zA-Z0-9;,"'<>]' /var/log/apache2/access.log

• generic web: Use curl to test the endpoint with a simple JavaScript payload: curl 'http://your-crm-url/api/tel/zadarma.php?zd_echo=<script>alert("XSS")</script>' and check the response for the alert box. • generic web: Check response headers for Content-Type: text/html when the 'zd_echo' parameter is present, indicating potential lack of proper encoding.

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.02% (5% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N9.3CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकrukovoditel
विक्रेताRukovoditel
प्रभावित श्रेणीमें ठीक किया गया
3.6.4 – 3.6.43.7

कमजोरी वर्गीकरण (CWE)

CWE-79

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, Rukovoditel CRM को संस्करण 3.7 में अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके 'zd_echo' पैरामीटर के लिए इनपुट को फ़िल्टर किया जा सकता है, ताकि दुर्भावनापूर्ण JavaScript कोड को रोका जा सके। इसके अतिरिक्त, सभी उपयोगकर्ता इनपुट को उचित रूप से सैनिटाइज और एन्कोड किया जाना चाहिए ताकि XSS हमलों को रोका जा सके। यह सुनिश्चित करें कि Zadarma API एंडपॉइंट में सभी इनपुट को ठीक से मान्य किया गया है और आउटपुट को सुरक्षित रूप से एन्कोड किया गया है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a la versión 3.7 o posterior de Rukovoditel CRM. Esta versión incluye validación de entrada y codificación de salida para prevenir la inyección de scripts.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-31845 — XSS Rukovoditel CRM में क्या है?

CVE-2026-31845 Rukovoditel CRM में एक रिफ्लेक्टेड क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण JavaScript कोड इंजेक्ट करने की अनुमति देती है।

क्या मैं CVE-2026-31845 से Rukovoditel CRM में प्रभावित हूँ?

यदि आप Rukovoditel CRM के संस्करण 3.6.4 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2026-31845 से Rukovoditel CRM को कैसे ठीक करूँ?

Rukovoditel CRM को संस्करण 3.7 में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो WAF का उपयोग करके इनपुट को फ़िल्टर करें।

क्या CVE-2026-31845 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-31845 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन सार्वजनिक PoC मौजूद हैं।

मैं CVE-2026-31845 के लिए आधिकारिक Rukovoditel CRM सलाहकार कहां पा सकता हूं?

आधिकारिक सलाहकार के लिए Rukovoditel CRM वेबसाइट या सुरक्षा बुलेटिन देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें