Plataforma
other
Componente
facesentry-access-control-system
Corregido en
6.4.9
5.7.3
5.7.1
La vulnerabilidad CVE-2019-25242 es una falla de Cross-Site Request Forgery (XSRF) presente en FaceSentry Access Control System. Esta vulnerabilidad permite a atacantes engañar a usuarios autenticados para que realicen acciones administrativas no deseadas, comprometiendo la seguridad del sistema. Afecta a versiones del sistema hasta la 6.4.8, y se recomienda actualizar a la versión 6.4.9 para corregir la vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad XSRF para realizar acciones administrativas en el sistema FaceSentry Access Control System sin la autorización del usuario. Esto incluye la capacidad de modificar contraseñas de administradores, agregar nuevos usuarios con privilegios administrativos, e incluso abrir puertas de control de acceso. El impacto potencial es significativo, ya que un atacante podría obtener control total sobre el sistema de control de acceso, comprometiendo la seguridad física de las instalaciones protegidas. La falta de validación adecuada de las solicitudes HTTP permite a un atacante inyectar código malicioso en páginas web legítimas, que al ser visitadas por un usuario autenticado, ejecutarán las acciones no autorizadas.
La vulnerabilidad CVE-2019-25242 fue publicada el 24 de diciembre de 2025. No se ha reportado actividad de explotación activa a la fecha. No se encuentra listada en el KEV de CISA. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
Organizations utilizing FaceSentry Access Control System in environments where administrators routinely access the system through web browsers are at risk. This includes deployments with shared hosting environments or legacy configurations where security best practices may not be fully implemented.
disclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2019-25242 es actualizar FaceSentry Access Control System a la versión 6.4.9 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación adicionales, como la validación estricta de todas las solicitudes administrativas, la implementación de tokens CSRF en todas las operaciones sensibles y la educación de los usuarios sobre los riesgos de los ataques XSRF. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar solicitudes maliciosas. Después de la actualización, confirme la mitigación verificando que las solicitudes administrativas requieran autenticación y validación adecuadas.
Actualizar FaceSentry Access Control System a una versión posterior a 6.4.8, 5.7.2 y 5.7.0. Como medida temporal, deshabilitar el acceso remoto a la interfaz web o implementar protecciones CSRF.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-25242 es una vulnerabilidad de Cross-Site Request Forgery (XSRF) en FaceSentry Access Control System que permite a atacantes realizar acciones administrativas sin consentimiento.
Si está utilizando FaceSentry Access Control System en una versión anterior a 6.4.9, es vulnerable a esta vulnerabilidad XSRF.
Actualice FaceSentry Access Control System a la versión 6.4.9 o superior. Si no es posible, implemente medidas de mitigación como la validación de solicitudes y el uso de un WAF.
Hasta la fecha, no se ha reportado actividad de explotación activa, pero la disponibilidad de un PoC podría cambiar esta situación.
Consulte el sitio web oficial de FaceSentry Access Control System o los canales de comunicación de seguridad de la empresa para obtener el advisory correspondiente.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.