CVE-2025-34254

Опубликовано: 16 окт. 2025

Источник: nvd

CVSS3: 5.3

EPSS Низкий

Описание

D-Link Nuclias Connect firmware versions <= 1.3.1.4 contain an observable response discrepancy vulnerability. The application's 'Login' endpoint returns distinct JSON responses depending on whether the supplied username is associated with an existing account. Because the responses differ in the error.messagestring value, an unauthenticated remote attacker can enumerate valid usernames/accounts on the server. NOTE: D-Link states that a fix is under development.

Ссылки

https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10472
Vendor Advisory
https://www.dlink.com/en/for-business/nuclias/nuclias-connect
Product
https://www.vulncheck.com/advisories/dlink-nuclias-connect-login-account-enumeration
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:dlink:nuclias_connect:*:*:*:*:*:*:*:*

Версия до 1.3.1.4 (включая)

EPSS

Процентиль: 15%

0.0005

Низкий

5.3 Medium

CVSS3

Дефекты

CWE-204

Связанные уязвимости

GHSA-mr7p-fqx6-72v7

CVSS3: 5.3

github

4 месяца назад

D-Link Nuclias Connect firmware versions <= 1.3.1.4 contain an observable response discrepancy vulnerability. The application's 'Login' endpoint returns distinct JSON responses depending on whether the supplied username is associated with an existing account. Because the responses differ in the `error.message`string value, an unauthenticated remote attacker can enumerate valid usernames/accounts on the server. NOTE: D-Link states that a fix is under development.

BDU:2025-13177

CVSS3: 5.3

fstec

4 месяца назад

Уязвимость программного обеспечения для централизованного управления беспроводными сетями D-Link Nuclias Connect, связанная с несоответствием ответов на входящие запросы, позволяющая нарушителю раскрыть защищаемую информацию

EPSS

Процентиль: 15%

0.0005

Низкий

5.3 Medium

CVSS3

Дефекты

CWE-204