PT-2025-42529 · D Link · D-Link Nuclias Connect
Alex Williams
·
Publicado
2025-10-16
·
Atualizado
2025-10-16
·
CVE-2025-34255
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
D-Link Nuclias Connect versões 1.3.1.4 e anteriores
Descrição
O endpoint 'Forgot Password' da aplicação apresenta uma discrepância na resposta dependendo se o endereço de e-mail fornecido existe no sistema. O endpoint retorna respostas JSON diferentes, variando especificamente o valor booleano
data.exist, permitindo que um atacante remoto não autenticado enumere endereços de e-mail e contas válidos no servidor.Recomendações
Atualize para uma versão posterior à 1.3.1.4.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
D-Link Nuclias Connect