Plataforma
php
Componente
rukovoditel
Corrigido em
3.7
Uma vulnerabilidade de Cross-Site Scripting (XSS) refletida foi descoberta no Rukovoditel CRM, afetando versões 3.6.4 e anteriores. Essa falha permite que um atacante injete scripts maliciosos na resposta HTTP, que são então executados no navegador de um usuário vulnerável. A exploração bem-sucedida pode levar ao roubo de informações confidenciais ou à manipulação do comportamento da aplicação. A versão 3.7 corrige essa vulnerabilidade.
A vulnerabilidade CVE-2026-31845 no Rukovoditel CRM (versões 3.6.4 e anteriores) representa um risco significativo devido a uma falha de Cross-Site Scripting (XSS) refletida. O parâmetro GET 'zd_echo' no endpoint da API de telefonia Zadarma (/api/tel/zadarma.php) não é devidamente sanitizado, permitindo que um atacante injete código JavaScript malicioso na resposta HTTP. Isso pode resultar na execução de scripts indesejados no navegador de um usuário legítimo, comprometendo potencialmente suas credenciais de login, dados confidenciais ou a integridade do aplicativo CRM. A pontuação CVSS de 9.3 indica uma severidade crítica, destacando a urgência de aplicar uma correção.
Um atacante não autenticado pode explorar esta vulnerabilidade simplesmente construindo uma URL maliciosa que inclua o parâmetro 'zd_echo' com código JavaScript injetado. Ao acessar esta URL, o navegador do usuário executará o script malicioso. Isso pode ocorrer através de links em e-mails de phishing, postagens em redes sociais ou até mesmo manipulando resultados de pesquisa. A falta de autenticação torna a exploração particularmente fácil e acessível a uma ampla gama de atacantes.
Organizations using Rukovoditel CRM versions 3.6.4 and earlier, particularly those relying on the Zadarma telephony integration, are at significant risk. Shared hosting environments where multiple customers share the same CRM instance are especially vulnerable, as a compromise of one customer could potentially impact others.
• php: Examine web server access logs for requests containing the 'zd_echo' parameter with unusual or obfuscated values.
grep 'zd_echo=[a-zA-Z0-9;,"'<>]' /var/log/apache2/access.log• generic web: Use curl to test the endpoint with a simple JavaScript payload: curl 'http://your-crm-url/api/tel/zadarma.php?zd_echo=<script>alert("XSS")</script>' and check the response for the alert box.
• generic web: Check response headers for Content-Type: text/html when the 'zd_echo' parameter is present, indicating potential lack of proper encoding.
disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A principal mitigação para CVE-2026-31845 é atualizar o Rukovoditel CRM para uma versão corrigida (superior a 3.6.4). Esta atualização deve incluir a implementação de uma validação de entrada e codificação de saída robustas para o parâmetro 'zd_echo'. Além disso, recomenda-se implementar uma Política de Segurança de Conteúdo (CSP) para restringir as fontes de scripts que podem ser executados no aplicativo. Como medida temporária, o endpoint /api/tel/zadarma.php pode ser desativado se não for essencial, ou o acesso restrito a endereços IP confiáveis. É crucial realizar testes exaustivos após aplicar qualquer mitigação para garantir sua eficácia.
Actualice a la versión 3.7 o posterior de Rukovoditel CRM. Esta versión incluye validación de entrada y codificación de salida para prevenir la inyección de scripts.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em páginas da web visualizadas por outros usuários. Esses scripts podem roubar informações confidenciais, redirecionar para sites maliciosos ou realizar ações em nome do usuário.
Se você estiver usando uma versão do Rukovoditel CRM anterior a 3.6.4, você é vulnerável. Verifique a versão do seu CRM e aplique a atualização mais recente o mais rápido possível.
CSP é uma camada adicional de segurança que permite que os desenvolvedores controlem as fontes de conteúdo que o navegador pode carregar, reduzindo o risco de ataques XSS.
Altere suas senhas imediatamente, revise sua atividade recente no aplicativo CRM e notifique seu provedor de serviços de segurança.
Sim, existem várias ferramentas de verificação de vulnerabilidades, tanto automatizadas quanto manuais, que podem ajudar a identificar vulnerabilidades XSS em aplicativos da web.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.