Unknown · Rukovoditel Crm · CVE-2026-31845
Name of the Vulnerable Software and Affected Versions
Rukovoditel CRM versões 3.6.4 e anteriores
Description
Existe uma vulnerabilidade de scripting cross-site refletido (XSS) no endpoint da API de telefonia Zadarma ('/api/tel/zadarma.php'). A aplicação reflete a entrada fornecida pelo usuário do parâmetro GET 'zd echo' na resposta HTTP sem a devida sanitização. O código vulnerável emite diretamente o valor do parâmetro `zd echo` usando a função `exit()`. Um atacante não autenticado pode explorar isso criando uma URL maliciosa contendo payloads JavaScript. Quando uma vítima visita o link, o payload é executado no navegador da vítima, podendo levar ao sequestro de sessão, roubo de credenciais, phishing ou tomada de conta.
Recommendations
Atualize para a versão 3.7 ou posterior, que inclui validação de entrada adequada e codificação de saída para evitar a injeção de script.