CVE-2025-34254
D-Link Nuclias Connect <= v1.3.1.4 Login Account Enumeration
En resumen
D-Link Nuclias Connect versión 1.3.1.4 y anteriores exponen si un usuario existe en el sistema a través de mensajes de error diferentes en el inicio de sesión. Un atacante puede descubrir qué cuentas son válidas sin necesidad de contraseña, comprometiendo la privacidad de las cuentas.
Detalle técnico
El endpoint de login presenta vulnerabilidad de discrepancia de respuesta (CWE-204) donde se retornan mensajes de error JSON distintos para nombres de usuario válidos versus inválidos. Un atacante remoto no autenticado puede enumerar cuentas existentes mediante análisis diferencial de respuestas.
Resumen generado y traducido por IA a partir de la descripción oficial.
D-Link Nuclias Connect firmware versions <= 1.3.1.4 contain an observable response discrepancy vulnerability. The application's 'Login' endpoint returns distinct JSON responses depending on whether the supplied username is associated with an existing account. Because the responses differ in the `error.message`string value, an unauthenticated remote attacker can enumerate valid usernames/accounts on the server. NOTE: D-Link states that a fix is under development.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Productos afectados
D-Link · Nuclias Connect¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →