CVE-2020-21991

**Nome do software vulnerável e versões afetadas:

Versões do AVE DOMINAplus anteriores à 1.11

Descrição:

O problema decorre da falta de uma verificação de controle ao chamar diretamente o parâmetro GET autologin no script “changeparams.php”. Ao definir o valor de autologin como 1, um invasor não autenticado pode contornar a autenticação, desativar permanentemente o controle de segurança de autenticação e acessar a interface de gerenciamento com privilégios de administrador sem fornecer credenciais.

Recomendações:

Para versões do AVE DOMINAplus anteriores à 1.11, como solução temporária, considere restringir o acesso ao script “changeparams.php” para minimizar o risco de exploração. Evite usar o parâmetro autologin no script afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.