CVE-2025-34254
D-Link Nuclias Connect <= v1.3.1.4 Login Account Enumeration
Em resumo
O D-Link Nuclias Connect versão 1.3.1.4 e anteriores expõem se um usuário existe no sistema através de mensagens de erro diferentes no login. Um atacante pode descobrir quais contas são válidas sem precisar de senha, violando a privacidade das contas.
Detalhe técnico
O endpoint de login apresenta vulnerabilidade de discrepância de resposta (CWE-204) onde mensagens de erro JSON distintas são retornadas para nomes de usuário válidos versus inválidos. Um atacante remoto não autenticado pode enumerar contas existentes explorando a análise diferencial das respostas.
Resumo gerado e traduzido por IA a partir da descrição oficial.
D-Link Nuclias Connect firmware versions <= 1.3.1.4 contain an observable response discrepancy vulnerability. The application's 'Login' endpoint returns distinct JSON responses depending on whether the supplied username is associated with an existing account. Because the responses differ in the `error.message`string value, an unauthenticated remote attacker can enumerate valid usernames/accounts on the server. NOTE: D-Link states that a fix is under development.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Produtos afetados
D-Link · Nuclias ConnectQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →