Platform
php
Component
rukovoditel
Opgelost in
3.7
CVE-2026-31845 is een reflected cross-site scripting (XSS) kwetsbaarheid in Rukovoditel CRM. Deze kwetsbaarheid stelt een niet-geauthenticeerde aanvaller in staat om kwaadaardige JavaScript-code uit te voeren in de browser van een gebruiker door een speciaal ontworpen URL te gebruiken. De kwetsbaarheid treedt op in de Zadarma telephony API endpoint (/api/tel/zadarma.php) en beïnvloedt versies 3.6.4 en eerder. Een update naar versie 3.7 is beschikbaar om dit probleem te verhelpen.
CVE-2026-31845 in Rukovoditel CRM (versies 3.6.4 en eerder) vormt een aanzienlijk risico vanwege een gereflecteerde Cross-Site Scripting (XSS)-kwetsbaarheid. De 'zd_echo' GET-parameter binnen het Zadarma-telefonie API-eindpunt (/api/tel/zadarma.php) wordt niet correct gesanitiseerd, waardoor een aanvaller kwaadaardige JavaScript-code in de HTTP-response kan injecteren. Dit kan leiden tot de uitvoering van ongewenste scripts in de browser van een legitieme gebruiker, waardoor mogelijk hun inloggegevens, gevoelige gegevens of de integriteit van de CRM-applicatie worden gecompromitteerd. De CVSS-score van 9.3 duidt op een kritieke ernst, wat de urgentie van het toepassen van een oplossing benadrukt.
Een niet-geauthenticeerde aanvaller kan deze kwetsbaarheid uitbuiten door eenvoudig een kwaadaardige URL te maken die de 'zd_echo'-parameter bevat met geïnjecteerde JavaScript-code. Door deze URL te bezoeken, zal de browser van de gebruiker het kwaadaardige script uitvoeren. Dit kan gebeuren via phishing-e-mails, social media-berichten of zelfs door zoekresultaten te manipuleren. Het ontbreken van authenticatie maakt de exploitatie bijzonder eenvoudig en toegankelijk voor een breed scala aan aanvallers.
Organizations using Rukovoditel CRM versions 3.6.4 and earlier, particularly those relying on the Zadarma telephony integration, are at significant risk. Shared hosting environments where multiple customers share the same CRM instance are especially vulnerable, as a compromise of one customer could potentially impact others.
• php: Examine web server access logs for requests containing the 'zd_echo' parameter with unusual or obfuscated values.
grep 'zd_echo=[a-zA-Z0-9;,"'<>]' /var/log/apache2/access.log• generic web: Use curl to test the endpoint with a simple JavaScript payload: curl 'http://your-crm-url/api/tel/zadarma.php?zd_echo=<script>alert("XSS")</script>' and check the response for the alert box.
• generic web: Check response headers for Content-Type: text/html when the 'zd_echo' parameter is present, indicating potential lack of proper encoding.
disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie voor CVE-2026-31845 is het updaten van Rukovoditel CRM naar een gepatchte versie (hoger dan 3.6.4). Deze update moet de implementatie van robuuste invoervalidatie en uitvoerencodering voor de 'zd_echo'-parameter bevatten. Bovendien wordt het implementeren van een Content Security Policy (CSP) aanbevolen om de bronnen van scripts die binnen de applicatie kunnen worden uitgevoerd, te beperken. Als tijdelijke maatregel kan het /api/tel/zadarma.php-eindpunt worden uitgeschakeld als het niet essentieel is, of de toegang beperkt tot vertrouwde IP-adressen. Na het toepassen van een mitigatie moeten grondige tests worden uitgevoerd om de effectiviteit te garanderen.
Actualice a la versión 3.7 o posterior de Rukovoditel CRM. Esta versión incluye validación de entrada y codificación de salida para prevenir la inyección de scripts.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in webpagina's kunnen injecteren die door andere gebruikers worden bekeken. Deze scripts kunnen vertrouwelijke informatie stelen, doorverwijzen naar kwaadaardige websites of acties namens de gebruiker uitvoeren.
Als u een versie van Rukovoditel CRM gebruikt die ouder is dan 3.6.4, bent u kwetsbaar. Controleer de versie van uw CRM en pas zo snel mogelijk de nieuwste update toe.
CSP is een extra beveiligingslaag die ontwikkelaars in staat stelt om de bronnen van inhoud te controleren die de browser kan laden, waardoor het risico op XSS-aanvallen wordt verminderd.
Wijzig uw wachtwoorden onmiddellijk, bekijk uw recente activiteit in de CRM-applicatie en informeer uw beveiligingsserviceprovider.
Ja, er zijn verschillende kwetsbaarheidsscanners, zowel geautomatiseerd als handmatig, die kunnen helpen bij het identificeren van XSS-kwetsbaarheden in webapplicaties.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.