一、 漏洞 CVE-2025-34255 基础信息
漏洞信息
# D-Link Nuclias Connect 密码重置账户枚举漏洞
## 概述
D-Link Nuclias Connect 固件版本 <= 1.3.1.4 存在一个可观察响应差异漏洞。
## 影响版本
- D-Link Nuclias Connect 固件版本 <= 1.3.1.4
## 细节
应用程序的“忘记密码”端点在用户输入的电子邮件地址是否关联已有账户时返回不同的 JSON 响应。具体而言,响应中的 `data.exist` 布尔值会根据账户是否存在而变化。
## 影响
未经身份验证的远程攻击者可通过该漏洞枚举服务器上的有效电子邮件地址或账户,从而获取用户信息并为后续攻击提供条件。
> **注**:D-Link 表示该问题的修复方案正在开发中。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
D-Link Nuclias Connect <= v1.3.1.4 Forgot Password Account Enumeration
来源:美国国家漏洞数据库 NVD
漏洞描述信息
D-Link Nuclias Connect firmware versions <= 1.3.1.4 contain an observable response discrepancy vulnerability. The application's 'Forgot Password' endpoint returns distinct JSON responses depending on whether the supplied email address is associated with an existing account. Because the responses differ in the `data.exist` boolean value, an unauthenticated remote attacker can enumerate valid email addresses/accounts on the server. NOTE: D-Link states that a fix is under development.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
响应差异性信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
D-Link Nuclias Connect 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
D-Link Nuclias Connect是中国友讯(D-Link)公司的一套无线网络集中管理系统。 D-Link Nuclias Connect 1.3.1.4及之前版本存在安全漏洞,该漏洞源于忘记密码端点存在可观察的响应差异,可能导致远程攻击者枚举有效电子邮件地址。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-34255 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-34255 的情报信息
-
标题: D-Link Nuclias Connect <= v1.3.1.4 Forgot Password Account Enumeration | Advisories | VulnCheck -- 🔗来源链接
标签: third-party-advisory
神龙速读
-
-
- https://nvd.nist.gov/vuln/detail/CVE-2025-34255
四、漏洞 CVE-2025-34255 的评论
暂无评论