Trivision NC-227WF firmware 5.80 (build 20141010) login mechanism reveals whether a username exists or not by returning different error messages ("Unknown user" vs. "Wrong password"), allowing an attacker to enumerate valid usernames. Referenced CVE record has been published to the CVE List / NVD.
- Username enumeration enabling targeted brute-force or credential-stuffing attacks.
- Increases risk of unauthorized access when combined with credential theft or weak passwords.
- Different error messages are returned based on username validity.
- Example observed responses:
"Unknown user"— username does not exist."Wrong password"— username exists but password incorrect.
- Normalize login error messages so responses do not reveal username validity.
- Implement proper authentication handling and reject weaker auth schemes where inappropriate.
- Enforce rate limiting and account lockout policies.
- Monitor and audit authentication attempts; rotate compromised credentials.
Trivision NC-227WF 펌웨어 5.80 (build 20141010)의 로그인 처리에서 사용자명 존재 여부에 따라 서로 다른 오류 메시지를 반환합니다("Unknown user" vs "Wrong password"). 이로 인해 공격자는 유효한 사용자명을 열거할 수 있습니다. 관련 CVE 레코드는 NVD에 게시되었습니다.
- 사용자명 노출로 인한 무차별 대입 공격 및 크리덴셜 스터핑 가능성 증가.
- 노출된 사용자명 + 약한 비밀번호 조합 시 무단 접근 위험 증대.
- 사용자명 존재 여부에 따라 반환되는 오류 메시지가 다름:
Unknown user— 계정 없음Wrong password— 계정 존재, 비밀번호 불일치
- 로그인 오류 메시지를 통일하여 사용자명 유효성 노출을 막을 것.
- 인증 처리 로직을 점검하여 불필요한 약한 인증 방식 허용을 차단할 것.
- 로그인 시도에 대한 속도 제한 및 계정 잠금 정책 적용.
- 인증 로그 모니터링 및 의심스러운 시도에 대한 조치, 자격증명 교체.