CVE-2026-31845

Name of the Vulnerable Software and Affected Versions Rukovoditel CRM versões 3.6.4 e anteriores

Description Existe uma vulnerabilidade de scripting cross-site refletido (XSS) no endpoint da API de telefonia Zadarma ('/api/tel/zadarma.php'). A aplicação reflete a entrada fornecida pelo usuário do parâmetro GET 'zd echo' na resposta HTTP sem a devida sanitização. O código vulnerável emite diretamente o valor do parâmetro zd echo usando a função exit(). Um atacante não autenticado pode explorar isso criando uma URL maliciosa contendo payloads JavaScript. Quando uma vítima visita o link, o payload é executado no navegador da vítima, podendo levar ao sequestro de sessão, roubo de credenciais, phishing ou tomada de conta.

Recommendations Atualize para a versão 3.7 ou posterior, que inclui validação de entrada adequada e codificação de saída para evitar a injeção de script.