Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-31845 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-11 |
| Producent | Rukovoditel |
| Produkt | CRM |
| CVSS Score | 9.3 (Krytyczny) |
| EPSS Score | 0.0% (percentyl: 4%) |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Podatność odbitego skryptowania międzywitrynowego (Reflected XSS) występuje w Rukovoditel CRM w wersji 3.6.4 i wcześniejszych, w punkcie końcowym API telefonii Zadarma (/api/tel/zadarma.php). Aplikacja bezpośrednio zwraca dane przekazane przez użytkownika z parametru GET „zd_echo” w odpowiedzi HTTP bez odpowiedniego oczyszczania danych, kodowania wyjścia lub ograniczeń typu zawartości. Nieuwierzytelniony atakujący może wykorzystać tę lukę, przygotowując odpowiednio spreparowany adres URL.
Wymagane działania
Zastosuj poprawki producenta lub środki zaradcze jak najszybciej po ich udostępnieniu.
Kogo dotyczy?
Podatność dotyczy produktu CRM firmy Rukovoditel. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
Jak nFlo może pomóc?
Jeśli Twoja organizacja korzysta z produktów dotkniętych tą podatnością, skontaktuj się z nami. Pomożemy w:
- Weryfikacji czy Twoje systemy są zagrożone
- Wdrożeniu poprawek i mitygacji ryzyka
- Monitorowaniu prób eksploatacji w Twoim środowisku
Przydatne zasoby:
