Niccolo Picca

**Nome do software vulnerável e versões afetadas** Versões do ZoneMinder anteriores à 1.34.21 **Descrição** A falha permite que invasores remotos executem código arbitrário, aumentem privilégios e obtenham informações confidenciais por meio do componente `PHP SELF` no arquivo `classic/views/download.php`. Trata-se de uma vulnerabilidade de Cross Site Scripting (XSS). **Recomendações** Para versões anteriores à 1.34.21, atualize para a versão 1.34.21 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo `classic/views/download.php` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do ZoneMinder anteriores à 1.34.21 **Descrição** A vulnerabilidade permite um ataque XSS por meio do parâmetro `connkey` nos pontos de extremidade da API “download.php” ou “export.php”. **Recomendações** Para versões anteriores à 1.34.21, atualize para a versão 1.34.21 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos pontos de extremidade da API “download.php” e “export.php” para minimizar o risco de exploração. Evite usar o parâmetro `connkey` nesses pontos de extremidade até que o problema seja resolvido.