T-Podo

**Name of the Vulnerable Software and Affected Versions** zrlog version 2.1.3 **Description** The issue allows a remote attacker to execute arbitrary code via the `nickame` parameter of the "/post/addComment" API endpoint. This enables the attacker to perform actions such as injecting malicious scripts. **Recommendations** For zrlog version 2.1.3, consider disabling the `/post/addComment` function until a patch is available to prevent exploitation via the `nickame` parameter. Restrict access to this function to minimize the risk of arbitrary code execution.

**Nome do software vulnerável e versões afetadas: ZrLog versão 2.1.3 Descrição: Existe uma vulnerabilidade de script entre sites (XSS) na seção de comentários, que permite que invasores remotos injetem scripts web arbitrários e roubem cookies de administrador por meio do parâmetro `nickname`, obtendo acesso ao painel de administração. Recomendações: Para o ZrLog versão 2.1.3, considere desativar a seção de comentários ou restringir o acesso a ela até que uma correção esteja disponível para impedir a exploração da vulnerabilidade XSS. Evite usar o parâmetro `nickname` na seção de comentários até que o problema seja resolvido.