Plataforma
other
Componente
kyocera-net-admin
CVE-2019-25254 describe una vulnerabilidad de Cross-Site Request Forgery (XSRF) presente en KYOCERA Net Admin versión 3.4.0906. Esta vulnerabilidad permite a un atacante crear cuentas de administrador sin la debida validación de la solicitud, lo que podría resultar en la toma de control del sistema. La vulnerabilidad fue publicada el 24 de diciembre de 2025 y requiere atención inmediata para evitar compromisos.
La vulnerabilidad XSRF en KYOCERA Net Admin permite a un atacante engañar a un usuario autenticado para que realice acciones no deseadas, como la creación de nuevas cuentas de administrador. Esto se logra mediante la creación de páginas web maliciosas que, al ser visitadas por un usuario con sesión activa, envían solicitudes falsificadas al servidor. Un atacante podría utilizar esta vulnerabilidad para obtener acceso administrativo completo al sistema, lo que le permitiría modificar la configuración, acceder a datos sensibles e incluso comprometer otros dispositivos en la red. La falta de validación adecuada de las solicitudes facilita la explotación de esta vulnerabilidad, lo que la convierte en un riesgo significativo para la seguridad de la red.
La vulnerabilidad CVE-2019-25254 se ha publicado recientemente (2025-12-24), y no se dispone de información sobre su explotación activa en campañas conocidas. No se ha listado en el KEV de CISA. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación en el futuro, por lo que se recomienda monitorear activamente las fuentes de información de seguridad.
Organizations utilizing KYOCERA Net Admin version 3.4.0906, particularly those with limited network segmentation or weak access controls, are at significant risk. Shared hosting environments where multiple users share the same KYOCERA Net Admin instance are also particularly vulnerable.
disclosure
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2019-25254 es actualizar KYOCERA Net Admin a una versión parcheada. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la habilitación de la verificación de doble factor (2FA) para las cuentas de administrador. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para detectar y bloquear solicitudes XSRF maliciosas. Es crucial revisar y fortalecer las políticas de seguridad de la red para minimizar el riesgo de explotación.
Actualice a una versión corregida de KYOCERA Net Admin. Consulte la página de Kyocera para obtener más información sobre las actualizaciones disponibles y las instrucciones de mitigación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-25254 is a cross-site request forgery vulnerability in KYOCERA Net Admin 3.4.0906 that allows attackers to create admin users without validation, potentially gaining control of the device.
If you are running KYOCERA Net Admin version 3.4.0906, you are potentially affected by this vulnerability. Upgrade as soon as possible.
The primary fix is to upgrade to a patched version of KYOCERA Net Admin. If upgrading is not immediately possible, implement WAF rules and strong access controls.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it easily exploitable.
Please refer to the KYOCERA security advisories page for the latest information and updates regarding CVE-2019-25254.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.