critical
CVSS: 9.8/10
29/05/2026
Vulnérabilité critical détectée - CVE-2018-25350
userSpice 4.3.24 contains a username enumeration vulnerability that allows unauthenticated attackers to discover valid usernames by sending POST reque...
CVE concernées (1)
Description
userSpice 4.3.24 contains a username enumeration vulnerability that allows unauthenticated attackers to discover valid usernames by sending POST requests to the existingUsernameCheck.php endpoint. Attackers can submit usernames and analyze response text for the 'taken' string to identify existing accounts in the system.
Type de vulnérabilité
- CWE-204
Vecteur d'attaque
Complexité : LOW
Privilèges requis : NONE
Interaction utilisateur : NONE
Impact
- Confidentialité : HIGH
- Intégrité : HIGH
- Disponibilité : HIGH
Recommandations
Appliquer les correctifs de sécurité fournis par le vendeur dès que possible.
Recommandations de sécurité
- Appliquer immédiatement les correctifs de sécurité
- Surveiller les systèmes pour détecter toute tentative d'exploitation