CVE-2026-31845 — 神龙十问 AI 深度分析摘要

🚨 **本质**：反射型 XSS 漏洞。<br>📉 **后果**：攻击者通过构造恶意链接，将脚本注入 HTTP 响应，导致用户浏览器执行恶意代码。

🔍 **CWE**：CWE-79 (跨站脚本)。<br>📍 **缺陷点**：`zd_echo` 参数未经验证，直接反射到响应中。

🏢 **厂商**：Rukovoditel。<br>📦 **产品**：Rukovoditel CRM。<br>📅 **版本**：3.6.4 及之前版本。

💻 **黑客能力**：窃取 Cookie、会话令牌、敏感数据。<br>🔄 **行为**：模拟用户操作、重定向用户、篡改页面内容。

🔓 **认证**：无需认证 (PR:N)。<br>🖱️ **交互**：需用户点击 (UI:R)。<br>🌐 **网络**：远程利用 (AV:N)。<br>⚡ **难度**：低 (AC:L)。

📜 **PoC**：数据中未提供现成 PoC。<br>🌍 **在野**：暂无在野利用报告。<br>🔗 **参考**：官方论坛讨论帖。

🔎 **自查特征**：检查 URL 中 `zd_echo` 参数是否包含未转义的 HTML/JS 标签。<br>🛠️ **扫描**：使用 XSS 扫描器针对 Zadarma 电话 API 端点进行模糊测试。

🛡️ **补丁**：数据未提及官方已发布具体补丁版本。<br>⏳ **状态**：建议联系厂商或关注官方论坛更新。

🚧 **临时规避**：<br>1. 限制 Zadarma API 端点访问。<br>2. 实施 WAF 规则过滤 `zd_echo` 参数中的脚本标签。<br>3. 对用户输入进行严格过滤和转义。

⚠️ **优先级**：高 (CVSS 3.1 高分)。<br>📢 **建议**：立即排查受影响版本，优先部署 WAF 规则缓解风险，尽快升级至修复版本。