CRITICALCVE-2026-31845CVSS 9.3

Rukovoditel CRM 在 3.6.4 及其更早版本中 Zadarma 电信 API 端点 (/api/tel/zadarma.php) 存在一个反射型跨站脚本 (XSS) 漏洞。应用程序直接反射

平台

php

组件

rukovoditel

修复版本

3.7

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-31845 是 Rukovoditel CRM 应用程序中发现的一个反射型跨站脚本攻击 (XSS) 漏洞。该漏洞允许未经身份验证的攻击者通过构造恶意 URL 将 JavaScript 代码注入到 HTTP 响应中，并在受害者访问该 URL 时执行。该漏洞影响 Rukovoditel CRM 3.6.4 及更早版本，特别是 Zadarma 电信 API 端点 (/api/tel/zadarma.php)。目前已修复，升级到 3.7 版本可以解决此问题。

影响与攻击场景

Rukovoditel CRM (3.6.4版本及更早版本) 中的CVE-2026-31845漏洞，由于存在反射型跨站脚本攻击（XSS）漏洞而构成重大风险。 Zadarma电话API端点（/api/tel/zadarma.php）中的'zd_echo' GET参数未得到适当的清理，允许攻击者将恶意JavaScript代码注入到HTTP响应中。这可能导致恶意脚本在合法用户的浏览器中执行，从而可能危及其登录凭据、敏感数据或CRM应用程序的完整性。CVSS评分达到9.3，表明需要紧急修复。

利用背景

未经身份验证的攻击者只需构建一个包含注入的JavaScript代码的'zd_echo'参数的恶意URL，即可利用此漏洞。访问此URL将导致用户的浏览器执行恶意脚本。这可能通过网络钓鱼电子邮件、社交媒体帖子或操纵搜索结果发生。缺乏身份验证使得利用变得特别容易，并且适用于广泛的攻击者。

哪些人处于风险中翻译中…

Organizations using Rukovoditel CRM versions 3.6.4 and earlier, particularly those relying on the Zadarma telephony integration, are at significant risk. Shared hosting environments where multiple customers share the same CRM instance are especially vulnerable, as a compromise of one customer could potentially impact others.

检测步骤翻译中…

• php: Examine web server access logs for requests containing the 'zd_echo' parameter with unusual or obfuscated values.

grep 'zd_echo=[a-zA-Z0-9;,"'<>]' /var/log/apache2/access.log

• generic web: Use curl to test the endpoint with a simple JavaScript payload: curl 'http://your-crm-url/api/tel/zadarma.php?zd_echo=<script>alert("XSS")</script>' and check the response for the alert box. • generic web: Check response headers for Content-Type: text/html when the 'zd_echo' parameter is present, indicating potential lack of proper encoding.

攻击时间线

2026-04-11Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.02% (5% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件rukovoditel

供应商Rukovoditel

影响范围修复版本

3.6.4 – 3.6.43.7

弱点分类 (CWE)

CWE-79

时间线

已保留2026-03-09
发布日期2026-04-11
修改日期2026-04-13
EPSS 更新日期2026-04-19

缓解措施和替代方案

针对CVE-2026-31845的主要缓解措施是将Rukovoditel CRM更新到修复后的版本（高于3.6.4）。此更新应包括对'zd_echo'参数实施强大的输入验证和输出编码。此外，建议实施内容安全策略（CSP），以限制应用程序中可以执行的脚本来源。作为临时措施，如果/api/tel/zadarma.php端点不是必需的，则可以禁用它，或者将访问限制为受信任的IP地址。在应用任何缓解措施后，必须进行彻底的测试以确保其有效性。

修复方法翻译中…

Actualice a la versión 3.7 o posterior de Rukovoditel CRM. Esta versión incluye validación de entrada y codificación de salida para prevenir la inyección de scripts.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-31845 是什么 — Rukovoditel CRM 中的 Cross-Site Scripting (XSS)？

XSS（跨站脚本攻击）是一种安全漏洞，允许攻击者将恶意脚本注入到其他用户查看的网页中。这些脚本可以窃取敏感信息、重定向到恶意网站或代表用户执行操作。

Rukovoditel CRM 中的 CVE-2026-31845 是否会影响我？

如果您使用的是Rukovoditel CRM的3.6.4版本之前的版本，则容易受到攻击。请检查您的CRM版本，并尽快应用最新的更新。

如何修复 Rukovoditel CRM 中的 CVE-2026-31845？

CSP是一种额外的安全层，允许开发人员控制浏览器可以加载的内容来源，从而降低XSS攻击的风险。

CVE-2026-31845 是否正在被积极利用？

立即更改您的密码，检查CRM应用程序中的最近活动，并通知您的安全服务提供商。

在哪里可以找到 Rukovoditel CRM 关于 CVE-2026-31845 的官方安全通告？

是的，有几种漏洞扫描工具，既有自动化的，也有手动操作的，可以帮助识别Web应用程序中的XSS漏洞。