In Facepay 1.0 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Hierbei betrifft es unbekannten Programmcode der Datei /face-recognition-php/facepay-master/camera.php. Durch die Manipulation des Arguments userId mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-639. Die Schwäche wurde am 05.12.2022 öffentlich gemacht. Bereitgestellt wird das Advisory unter vuldb.com. Die Verwundbarkeit wird als CVE-2022-4281 geführt. Umgesetzt werden kann der Angriff über das Netzwerk. Es sind technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Er wird als proof-of-concept gehandelt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $0-$5k auf dem Schwarzmarkt. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle.