プラットフォーム
other
コンポーネント
facesentry-access-control-system
修正版
6.4.9
5.7.3
5.7.1
CVE-2019-25242は、FaceSentry Access Control Systemにおけるクロスサイトリクエストフォージェリ(XSRF)脆弱性です。認証済みユーザーを欺き、管理者権限を悪用してシステム設定を変更する攻撃を可能にします。この脆弱性はFaceSentry Access Control Systemのバージョン6.4.8以前に影響を与えます。バージョン6.4.9へのアップデートで修正されています。
このXSRF脆弱性を悪用されると、攻撃者は認証済みFaceSentryユーザーを騙し、悪意のあるウェブページを閲覧させることで、管理者権限を奪取できます。これにより、攻撃者は管理者パスワードをリセットしたり、新たな管理者アカウントを作成したり、アクセス制御ドアを開放したりすることが可能になります。攻撃者は、システム内の機密情報へのアクセス、不正なアクセス制御、さらには物理的なセキュリティ侵害を引き起こす可能性があります。この脆弱性は、類似のXSRF攻撃と同様に、ユーザーの操作を悪用してシステムを制御しようとする攻撃手法です。
CVE-2019-25242は、2025年12月24日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、XSRF攻撃は一般的な攻撃手法であり、悪用される可能性は否定できません。CISA KEVへの登録状況は不明です。公開されているPoCは確認されていません。
Organizations utilizing FaceSentry Access Control System in environments where administrators routinely access the system through web browsers are at risk. This includes deployments with shared hosting environments or legacy configurations where security best practices may not be fully implemented.
disclosure
エクスプロイト状況
EPSS
0.03% (8% パーセンタイル)
CISA SSVC
CVSS ベクトル
FaceSentry Access Control Systemのバージョンを6.4.9以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、入力検証の強化、CSRFトークンの実装、およびユーザーの意識向上トレーニングを実施してください。WAF(Web Application Firewall)を導入し、XSRF攻撃を検知・防御するルールを設定することも有効です。また、アクセス制御の強化、最小権限の原則の適用、および定期的なセキュリティ監査を実施することで、リスクを軽減できます。
FaceSentry アクセス制御システムを 6.4.8, 5.7.2, および 5.7.0 よりも新しいバージョンにアップデートしてください。一時的な対策として、Webインターフェースへのリモートアクセスを無効にするか、CSRF保護を実装してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2019-25242は、FaceSentry Access Control Systemのバージョン6.4.8以前に存在するクロスサイトリクエストフォージェリ(XSRF)脆弱性です。攻撃者は、認証済みユーザーを騙して不正な操作を実行できます。
FaceSentry Access Control Systemのバージョンが6.4.8以前の場合、この脆弱性の影響を受けます。バージョン6.4.9以降にアップデートすることで、脆弱性を解消できます。
FaceSentry Access Control Systemをバージョン6.4.9以降にアップデートしてください。アップデートが困難な場合は、入力検証の強化やWAFの導入などの対策を検討してください。
現時点では、CVE-2019-25242を悪用した具体的な攻撃事例は確認されていませんが、XSRF攻撃は一般的な攻撃手法であり、悪用される可能性は否定できません。
FaceSentryの公式アドバイザリは、FaceSentryのウェブサイトまたはサポートチャネルで確認できます。