CVE-2020-21991

Опубликовано: 28 апр. 2021

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Описание

AVE DOMINAplus <=1.10.x suffers from an authentication bypass vulnerability due to missing control check when directly calling the autologin GET parameter in changeparams.php script. Setting the autologin value to 1 allows an unauthenticated attacker to permanently disable the authentication security control and access the management interface with admin privileges without providing credentials.

Ссылки

https://www.exploit-db.com/exploits/47822
Exploit
Third Party Advisory
VDB Entry
https://www.zeroscience.mk/en/vulnerabilities/ZSL-2019-5549.php
Exploit
Third Party Advisory
https://www.exploit-db.com/exploits/47822
Exploit
Third Party Advisory
VDB Entry
https://www.zeroscience.mk/en/vulnerabilities/ZSL-2019-5549.php
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:ave:dominaplus:*:*:*:*:*:*:*:*

Версия от 1.10.11 (включая) до 1.10.77 (включая)

Конфигурация 2

Одновременно

cpe:2.3:o:ave:53ab-wbs_firmware:1.10.62:*:*:*:*:*:*:*

cpe:2.3:h:ave:53ab-wbs:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:ave:ts01_firmware:1.0.65:*:*:*:*:*:*:*

cpe:2.3:h:ave:ts01:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:ave:ts03x-v_firmware:1.10.45a:*:*:*:*:*:*:*

cpe:2.3:h:ave:ts03x-v:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

cpe:2.3:o:ave:ts04x-v_firmware:1.10.45a:*:*:*:*:*:*:*

cpe:2.3:h:ave:ts04x-v:-:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

cpe:2.3:o:ave:ts05_firmware:1.10.36:*:*:*:*:*:*:*

cpe:2.3:h:ave:ts05:-:*:*:*:*:*:*:*

Конфигурация 7

Одновременно

cpe:2.3:o:ave:ts05n-v_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:ave:ts05n-v:-:*:*:*:*:*:*:*

EPSS

Процентиль: 90%

0.05284

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-287

Связанные уязвимости

GHSA-9c5r-2fv8-6qm7

github

больше 3 лет назад

EPSS

Процентиль: 90%

0.05284

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-287