CVE-2019-25242: CSRF in FaceSentry Access Control System

यह CSRF भेद्यता हमलावरों को FaceSentry Access Control System में अनधिकृत प्रशासनिक विशेषाधिकार प्राप्त करने की अनुमति देती है। हमलावर दुर्भावनापूर्ण वेब पृष्ठों को तैयार करके व्यवस्थापक पासवर्ड बदल सकते हैं, नए व्यवस्थापक उपयोगकर्ता जोड़ सकते हैं या एक्सेस कंट्रोल दरवाजे खोल सकते हैं। यह भेद्यता सुरक्षा उल्लंघनों और अनधिकृत पहुंच का कारण बन सकती है। हमलावर सिस्टम के नियंत्रण को प्राप्त कर सकते हैं और संवेदनशील जानकारी तक पहुंच सकते हैं। इस भेद्यता का शोषण करने के लिए, हमलावर को पहले एक प्रमाणित उपयोगकर्ता के रूप में लॉग इन करना होगा।

Organizations utilizing FaceSentry Access Control System in environments where administrators routinely access the system through web browsers are at risk. This includes deployments with shared hosting environments or legacy configurations where security best practices may not be fully implemented.

1. 2025-12-24Disclosure

   disclosure

1. आरक्षित2025-12-24
2. प्रकाशित2025-12-24
3. संशोधित2026-03-05
4. EPSS अद्यतन2026-03-23

CVE-2019-25242 के लिए प्राथमिक शमन उपाय FaceSentry Access Control System को संस्करण 6.4.9 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो CSRF टोकन लागू करने या उपयोगकर्ता इनपुट को मान्य करने जैसे अतिरिक्त सुरक्षा नियंत्रणों को लागू करने पर विचार करें। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को कम करने में भी मदद कर सकता है। सुनिश्चित करें कि सभी व्यवस्थापक खाते मजबूत पासवर्ड का उपयोग करते हैं और नियमित रूप से बदलते हैं।