KYOCERA Net Admin 3.4.0906 Cross-Site Request Forgery via Administração de Usuários
Plataforma
other
Componente
kyocera-net-admin
A vulnerabilidade CVE-2019-25254 afeta o KYOCERA Net Admin, especificamente a versão 3.4.0906. Trata-se de uma falha de Cross-Site Request Forgery (XSRF) que permite a um atacante criar contas de administrador sem a devida validação das requisições. Essa falha pode ser explorada através da criação de páginas web maliciosas que, ao serem visitadas por um usuário autenticado, automaticamente submetem formulários para adicionar novas contas de administrador com credenciais predefinidas.
Impacto e Cenários de Ataque
Um atacante explorando esta vulnerabilidade pode criar contas de administrador no KYOCERA Net Admin sem a necessidade de autenticação adicional, desde que o usuário seja previamente autenticado no sistema. Isso concede ao atacante controle administrativo completo sobre o dispositivo, permitindo a modificação de configurações, acesso a dados sensíveis e a execução de ações maliciosas em nome do administrador criado. O impacto potencial é significativo, podendo levar à comprometimento total do dispositivo e à exposição de informações confidenciais. A ausência de validação adequada das requisições torna a exploração relativamente simples, aumentando o risco de ataques bem-sucedidos.
Contexto de Exploração
A vulnerabilidade CVE-2019-25254 foi divulgada em 24 de dezembro de 2025. Não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas. A probabilidade de exploração é considerada baixa devido à falta de informações adicionais e à ausência de PoCs amplamente disponíveis. A vulnerabilidade foi adicionada ao catálogo KEV da CISA.
Quem Está em Riscotraduzindo…
Organizations utilizing KYOCERA Net Admin version 3.4.0906, particularly those with limited network segmentation or weak access controls, are at significant risk. Shared hosting environments where multiple users share the same KYOCERA Net Admin instance are also particularly vulnerable.
Linha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária para CVE-2019-25254 é a implementação de validação rigorosa de todas as requisições, especialmente aquelas relacionadas à criação de usuários administrativos. Isso pode ser alcançado através da utilização de tokens CSRF, que garantem que as requisições sejam originadas do próprio sistema e não de fontes externas maliciosas. Além disso, é crucial monitorar o sistema em busca de atividades suspeitas, como a criação de novas contas de administrador sem autorização. Devido à ausência de uma versão corrigida, a validação de requisições e o monitoramento constante são as principais medidas de proteção.
Como corrigir
Atualize para uma versão corrigida do KYOCERA Net Admin. Consulte a página da Kyocera para obter mais informações sobre as atualizações disponíveis e as instruções de mitigação.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentestraduzindo…
What is CVE-2019-25254 — CSRF in KYOCERA Net Admin 3.4.0906?
CVE-2019-25254 is a cross-site request forgery vulnerability in KYOCERA Net Admin 3.4.0906 that allows attackers to create admin users without validation, potentially gaining control of the device.
Am I affected by CVE-2019-25254 in KYOCERA Net Admin 3.4.0906?
If you are running KYOCERA Net Admin version 3.4.0906, you are potentially affected by this vulnerability. Upgrade as soon as possible.
How do I fix CVE-2019-25254 in KYOCERA Net Admin 3.4.0906?
The primary fix is to upgrade to a patched version of KYOCERA Net Admin. If upgrading is not immediately possible, implement WAF rules and strong access controls.
Is CVE-2019-25254 being actively exploited?
There is currently no evidence of active exploitation, but the vulnerability's nature makes it easily exploitable.
Where can I find the official KYOCERA advisory for CVE-2019-25254?
Please refer to the KYOCERA security advisories page for the latest information and updates regarding CVE-2019-25254.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.