CVE-2018-25350

userSpice 4.3.24 Username Enumeration via existingUsernameCheck.php

CVSS 9.3 CRITICALEPSS 0.4%CWE-204

Vexday Risk Score

48Atención

Decisión SSVC (CISA)

Attend

PoC disponible → seguir de cerca

CVSS 9.3EPSS 0.4%KEV nãoPoC públicaNuclei —Metasploit —Patch —

Ciclo de vida

23 may 2026Publicada en NVD

Recomendación: Planificar corrección próxima — ya existe PoC pública.

userSpice 4.3.24 contains a username enumeration vulnerability that allows unauthenticated attackers to discover valid usernames by sending POST requests to the existingUsernameCheck.php endpoint. Attackers can submit usernames and analyze response text for the 'taken' string to identify existing accounts in the system.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Productos afectados

UserSpice · userSpice

PoCs públicas encontradas — 1

cve_referencewww.exploit-db.com/exploits/44872no verificado

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.exploit-db.com/exploits/44872 https://www.vulncheck.com/advisories/userspice-username-enumeration-via-existingusernamecheck-php