Plateforme
other
Composant
kyocera-net-admin
La vulnérabilité CVE-2019-25254 affecte KYOCERA Net Admin version 3.4.0906 et se manifeste sous la forme d'une faille de Cross-Site Request Forgery (CSRF). Cette faille permet à un attaquant de créer de nouveaux comptes administrateurs sans validation appropriée des requêtes. L'exploitation réussie de cette vulnérabilité peut entraîner un accès non autorisé aux fonctionnalités d'administration du système.
Un attaquant peut exploiter cette vulnérabilité CSRF en créant des pages web malveillantes qui soumettent automatiquement des formulaires pour ajouter de nouveaux comptes administrateurs avec des identifiants prédéfinis lorsque l'utilisateur authentifié visite la page. Cela permet à l'attaquant de contourner les mécanismes d'authentification et d'obtenir un accès non autorisé aux fonctions d'administration de KYOCERA Net Admin. Les données sensibles, telles que les configurations réseau, les informations d'identification des utilisateurs et les journaux d'activité, pourraient être compromises. L'attaquant pourrait également utiliser ce compte administrateur pour effectuer des modifications non autorisées à la configuration du système, compromettant ainsi la sécurité et la disponibilité du réseau.
La vulnérabilité CVE-2019-25254 a été publiée le 24 décembre 2025. Il n'y a pas d'indications d'exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'est connu. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible en raison du manque de PoC et de l'absence d'exploitation confirmée.
Organizations utilizing KYOCERA Net Admin version 3.4.0906, particularly those with limited network segmentation or weak access controls, are at significant risk. Shared hosting environments where multiple users share the same KYOCERA Net Admin instance are also particularly vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
En l'absence de correctif officiel, il est recommandé de renforcer les mesures de sécurité autour de KYOCERA Net Admin 3.4.0906. Implémentez une validation stricte des requêtes côté serveur pour tous les formulaires d'administration, en utilisant des tokens CSRF. Mettez en place des politiques de sécurité du navigateur pour bloquer les scripts provenant de domaines non fiables. Surveillez attentivement les journaux d'accès et d'erreur pour détecter toute activité suspecte. Envisagez de désactiver temporairement les fonctionnalités d'administration non essentielles pour réduire la surface d'attaque. Après l'implémentation de ces mesures, vérifiez l'intégrité du système en simulant une attaque CSRF pour confirmer que la validation des requêtes fonctionne correctement.
Mettez à jour vers une version corrigée de KYOCERA Net Admin. Consultez la page de Kyocera pour plus d'informations sur les mises à jour disponibles et les instructions de mitigation.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2019-25254 is a cross-site request forgery vulnerability in KYOCERA Net Admin 3.4.0906 that allows attackers to create admin users without validation, potentially gaining control of the device.
If you are running KYOCERA Net Admin version 3.4.0906, you are potentially affected by this vulnerability. Upgrade as soon as possible.
The primary fix is to upgrade to a patched version of KYOCERA Net Admin. If upgrading is not immediately possible, implement WAF rules and strong access controls.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it easily exploitable.
Please refer to the KYOCERA security advisories page for the latest information and updates regarding CVE-2019-25254.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.