Plateforme
other
Composant
facesentry-access-control-system
Corrigé dans
6.4.9
5.7.3
5.7.1
La vulnérabilité CVE-2019-25242 affecte le système de contrôle d'accès FaceSentry, versions inférieures ou égales à 6.4.8. Il s'agit d'une faille de Cross-Site Request Forgery (CSRF) qui permet à des attaquants d'effectuer des actions administratives malveillantes. Cette vulnérabilité peut compromettre la sécurité du système et permettre un accès non autorisé aux fonctionnalités d'administration. La version corrigée est 6.4.9.
Un attaquant peut exploiter cette vulnérabilité CSRF pour se faire passer pour un utilisateur authentifié et exécuter des actions administratives sans son consentement. Cela inclut la modification des mots de passe des administrateurs, l'ajout de nouveaux utilisateurs administrateurs et l'ouverture de portes de contrôle d'accès. L'impact est significatif car cela peut conduire à une compromission complète du système de contrôle d'accès, permettant à l'attaquant de contrôler l'accès physique aux locaux. Une exploitation réussie pourrait permettre à un attaquant de contourner les mesures de sécurité et d'accéder à des zones restreintes, mettant potentiellement en danger la sécurité des personnes et des biens.
La vulnérabilité a été publiée le 24 décembre 2025. Aucune preuve d'exploitation active n'est actuellement disponible. Il n'y a pas d'entrée dans le KEV de CISA à ce jour. Des preuves de concept publiques (PoC) pourraient être développées, augmentant le risque d'exploitation.
Organizations utilizing FaceSentry Access Control System in environments where administrators routinely access the system through web browsers are at risk. This includes deployments with shared hosting environments or legacy configurations where security best practices may not be fully implemented.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour FaceSentry Access Control System vers la version 6.4.9 ou supérieure. En attendant la mise à jour, des mesures d'atténuation peuvent être mises en place, telles que l'implémentation de mesures de validation CSRF robustes sur toutes les actions administratives. Il est également recommandé de désactiver les fonctionnalités inutilisées et de limiter les privilèges des utilisateurs. La configuration d'un Web Application Firewall (WAF) peut aider à bloquer les requêtes CSRF malveillantes. Surveillez les journaux d'accès pour détecter des requêtes suspectes.
Mettre à jour FaceSentry Access Control System à une version ultérieure à 6.4.8, 5.7.2 et 5.7.0. En tant que mesure temporaire, désactiver l'accès à distance à l'interface web ou implémenter des protections CSRF.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2019-25242 est une vulnérabilité CSRF (Cross-Site Request Forgery) affectant FaceSentry Access Control System, permettant à un attaquant d'effectuer des actions administratives sans autorisation.
Oui, si vous utilisez FaceSentry Access Control System version 6.4.8 ou inférieure, vous êtes affecté par cette vulnérabilité.
Mettez à jour FaceSentry Access Control System vers la version 6.4.9 ou supérieure. En attendant, appliquez des mesures d'atténuation comme la validation CSRF.
À l'heure actuelle, il n'y a aucune preuve d'exploitation active, mais le risque existe en raison de la nature de la vulnérabilité.
Consultez le site web de FaceSentry ou les canaux de communication officiels pour obtenir l'avis de sécurité concernant CVE-2019-25242.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.