प्लेटफ़ॉर्म
php
घटक
rukovoditel
में ठीक किया गया
3.7
CVE-2026-31845 एक रिफ्लेक्टेड क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो Rukovoditel CRM में मौजूद है। इस भेद्यता के कारण हमलावर दुर्भावनापूर्ण JavaScript कोड को इंजेक्ट कर सकता है, जिससे उपयोगकर्ता के ब्राउज़र में अनधिकृत क्रियाएं हो सकती हैं। यह भेद्यता Rukovoditel CRM के संस्करण 3.6.4 और उससे पहले के संस्करणों को प्रभावित करती है, और इसे संस्करण 3.7 में ठीक कर दिया गया है।
यह XSS भेद्यता हमलावर को उपयोगकर्ता के ब्राउज़र में मनमाना JavaScript कोड निष्पादित करने की अनुमति देती है। हमलावर उपयोगकर्ता को एक दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए प्रेरित कर सकता है, जो तब उपयोगकर्ता के सत्र को हाईजैक करने, संवेदनशील जानकारी चुराने या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने के लिए उपयोग किया जा सकता है। इस भेद्यता का उपयोग सत्र कुकीज़ को चुराने, उपयोगकर्ता के खाते पर नियंत्रण हासिल करने और अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। Zadarma टेलीफोनी API एंडपॉइंट (/api/tel/zadarma.php) में असुरक्षित इनपुट हैंडलिंग के कारण यह भेद्यता उत्पन्न होती है।
CVE-2026-31845 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन सार्वजनिक रूप से उपलब्ध है। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हैं, जो इस भेद्यता के शोषण की संभावना को बढ़ाते हैं। NVD में प्रकाशन तिथि 2026-04-11 है।
Organizations using Rukovoditel CRM versions 3.6.4 and earlier, particularly those relying on the Zadarma telephony integration, are at significant risk. Shared hosting environments where multiple customers share the same CRM instance are especially vulnerable, as a compromise of one customer could potentially impact others.
• php: Examine web server access logs for requests containing the 'zd_echo' parameter with unusual or obfuscated values.
grep 'zd_echo=[a-zA-Z0-9;,"'<>]' /var/log/apache2/access.log• generic web: Use curl to test the endpoint with a simple JavaScript payload: curl 'http://your-crm-url/api/tel/zadarma.php?zd_echo=<script>alert("XSS")</script>' and check the response for the alert box.
• generic web: Check response headers for Content-Type: text/html when the 'zd_echo' parameter is present, indicating potential lack of proper encoding.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Rukovoditel CRM को संस्करण 3.7 में अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके 'zd_echo' पैरामीटर के लिए इनपुट को फ़िल्टर किया जा सकता है, ताकि दुर्भावनापूर्ण JavaScript कोड को रोका जा सके। इसके अतिरिक्त, सभी उपयोगकर्ता इनपुट को उचित रूप से सैनिटाइज और एन्कोड किया जाना चाहिए ताकि XSS हमलों को रोका जा सके। यह सुनिश्चित करें कि Zadarma API एंडपॉइंट में सभी इनपुट को ठीक से मान्य किया गया है और आउटपुट को सुरक्षित रूप से एन्कोड किया गया है।
Actualice a la versión 3.7 o posterior de Rukovoditel CRM. Esta versión incluye validación de entrada y codificación de salida para prevenir la inyección de scripts.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-31845 Rukovoditel CRM में एक रिफ्लेक्टेड क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण JavaScript कोड इंजेक्ट करने की अनुमति देती है।
यदि आप Rukovoditel CRM के संस्करण 3.6.4 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Rukovoditel CRM को संस्करण 3.7 में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो WAF का उपयोग करके इनपुट को फ़िल्टर करें।
CVE-2026-31845 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन सार्वजनिक PoC मौजूद हैं।
आधिकारिक सलाहकार के लिए Rukovoditel CRM वेबसाइट या सुरक्षा बुलेटिन देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।