CVE-2021-43686

**Nome do software vulnerável e versões afetadas:

nZEDb versão 0.4.20

Descrição:

O problema está relacionado a uma vulnerabilidade de Cross Site Scripting (XSS) no arquivo www/pages/api.php. A função exit encerra o script e exibe uma mensagem que inclui a entrada de $ GET[‘t’]. Isso permite possíveis ataques XSS por meio da manipulação da variável $ GET[‘t’].

Recomendações:

Para a versão 0.4.20 do nZEDb, considere restringir o acesso ao arquivo www/pages/api.php até que um patch esteja disponível. Como solução temporária, evite usar a variável $ GET[‘t’] no endpoint da API afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.