Rukovoditel CRM バージョン 3.6.4 以前に、Zadarma 電話 API エンドポイント (/api/tel/zadarma.php) における反射型クロスサイトスクリプティング (XSS) の脆弱性が存在します。アプリケーションは、適切にサニタイズ、出力エンコード、またはコンテンツタイプ制限なしに、HTTP レスポンスに 'zd_echo' GET パラメータからのユーザー提供入力を直接反映します。

Rukovoditel CRM (バージョン3.6.4以前)におけるCVE-2026-31845は、リフレクト型クロスサイトスクリプティング（XSS）の脆弱性により重大なリスクをもたらします。 Zadarma電話APIエンドポイント（/api/tel/zadarma.php）の'zd_echo' GETパラメータが適切にサニタイズされていないため、攻撃者が悪意のあるJavaScriptコードをHTTPレスポンスに注入できる可能性があります。これにより、正規のユーザーのブラウザで不要なスクリプトが実行され、ログイン認証情報、機密データ、またはCRMアプリケーションの整合性が損なわれる可能性があります。CVSSスコアが9.3であることは、緊急性の高い修正が必要であることを示しています。

Organizations using Rukovoditel CRM versions 3.6.4 and earlier, particularly those relying on the Zadarma telephony integration, are at significant risk. Shared hosting environments where multiple customers share the same CRM instance are especially vulnerable, as a compromise of one customer could potentially impact others.

• php: Examine web server access logs for requests containing the 'zd_echo' parameter with unusual or obfuscated values.

grep 'zd_echo=[a-zA-Z0-9;,"'<>]' /var/log/apache2/access.log

• generic web: Use curl to test the endpoint with a simple JavaScript payload: curl 'http://your-crm-url/api/tel/zadarma.php?zd_echo=<script>alert("XSS")</script>' and check the response for the alert box. • generic web: Check response headers for Content-Type: text/html when the 'zd_echo' parameter is present, indicating potential lack of proper encoding.

1. 2026-04-11Disclosure

   disclosure

1. 予約済み2026-03-09
2. 公開日2026-04-11
3. 更新日2026-04-13
4. EPSS 更新日2026-04-19

CVE-2026-31845の主な軽減策は、Rukovoditel CRMを修正されたバージョン（3.6.4より大きい）に更新することです。この更新には、'zd_echo'パラメータに対する堅牢な入力検証と出力エンコーディングの実装が含まれている必要があります。さらに、アプリケーション内で実行できるスクリプトのソースを制限するために、コンテンツセキュリティポリシー（CSP）を実装することをお勧めします。一時的な対策として、/api/tel/zadarma.phpエンドポイントが必須でない場合は無効にしたり、アクセスを信頼できるIPアドレスに制限したりできます。どのような軽減策を適用した後でも、効果を保証するために徹底的なテストを実施することが重要です。