Plataforma
other
Componente
facesentry-access-control-system
Corrigido em
6.4.9
5.7.3
5.7.1
A vulnerabilidade CVE-2019-25242 é uma falha de Cross-Site Request Forgery (XSRF) identificada no FaceSentry Access Control System. Essa falha permite que atacantes executem ações administrativas, como a modificação de senhas de administradores e a adição de novos usuários, sem a necessidade de consentimento do usuário autenticado. A vulnerabilidade afeta versões do FaceSentry Access Control System anteriores ou iguais a 6.4.8. A correção para esta vulnerabilidade está disponível na versão 6.4.9.
Um atacante pode explorar esta vulnerabilidade criando páginas web maliciosas que, quando acessadas por um usuário autenticado no FaceSentry, executam ações administrativas sem o conhecimento do usuário. Isso pode levar à alteração não autorizada de senhas de administradores, à adição de novos usuários com privilégios administrativos, ou até mesmo à abertura de portas de controle de acesso, comprometendo a segurança física do ambiente. A exploração bem-sucedida pode resultar em acesso não autorizado ao sistema de controle de acesso e, potencialmente, em violações de segurança física.
A vulnerabilidade foi divulgada publicamente em 2025-12-24. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A ausência de um Proof of Concept (PoC) publicamente disponível dificulta a avaliação do risco imediato, mas a natureza da vulnerabilidade XSRF a torna potencialmente explorável. A inclusão no KEV (Know Exploited Vulnerabilities) ainda não ocorreu.
Organizations utilizing FaceSentry Access Control System in environments where administrators routinely access the system through web browsers are at risk. This includes deployments with shared hosting environments or legacy configurations where security best practices may not be fully implemented.
disclosure
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização do FaceSentry Access Control System para a versão 6.4.9 ou superior, que inclui a correção para a falha XSRF. Se a atualização imediata não for possível, implemente medidas de proteção XSRF, como a utilização de tokens CSRF em todas as requisições críticas. Considere também a implementação de políticas de segurança que reforcem a conscientização dos usuários sobre os riscos de clicar em links suspeitos. Após a atualização, verifique se as requisições críticas exigem autenticação adicional e se os tokens CSRF estão sendo gerados e validados corretamente.
Atualizar FaceSentry Access Control System para uma versão posterior a 6.4.8, 5.7.2 e 5.7.0. Como medida temporária, desabilitar o acesso remoto à interface web ou implementar proteções CSRF.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2019-25242 é uma vulnerabilidade de Cross-Site Request Forgery (XSRF) no FaceSentry Access Control System que permite a atacantes realizar ações administrativas sem consentimento.
Sim, se você estiver utilizando uma versão do FaceSentry Access Control System anterior ou igual a 6.4.8, você está afetado por esta vulnerabilidade.
A correção é atualizar o FaceSentry Access Control System para a versão 6.4.9 ou superior. Se a atualização não for possível, implemente medidas de proteção XSRF.
Atualmente, não há informações disponíveis sobre exploração ativa desta vulnerabilidade, mas a natureza XSRF a torna potencialmente explorável.
O advisory oficial do FaceSentry para CVE-2019-25242 pode ser encontrado no site oficial do FaceSentry, após a publicação do advisory.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.