CVE-2026-31845: Kritische Sicherheitslücke in Rukovoditel CRM durch Zadarma-API
⚠️ CVE-Referenzen:
CVE-2026-31845
Zusammenfassung
In der Rukovoditel CRM-Software bis Version 3.6.4 existiert eine kritische Sicherheitslücke durch eine Schwachstelle in der Zadarma-Telefonie-API. Angreifer können über den 'zd_echo'-Parameter manipulierte JavaScript-Inhalte einschleusen, was zu Sessionentführung, Zugangsdatendiebstahl und Kontrollübernahme führen kann. Ab Version 3.7 ist die Lücke durch verbesserte Eingabevalidierung und Ausgabekodierung behoben.
Rukovoditel - Rukovoditel Crm - CRITICAL - CVE-2026-31845.
A reflected cross-site scripting (XSS) vulnerability exists in Rukovoditel CRM versions up to 3.6.4, specifically in the Zadarma telephony API endpoint. This flaw allows attackers to inject malicious JavaScript through the 'zd_echo' GET parameter, leading to potential session hijacking, credential theft, and account takeover when victims unknowingly execute the crafted URL. Version 3.7 addresses this vulnerability by implementing proper input validation and output encoding to mitigate script injection risks.
Quelle: securityvulnerability.io