Ksenia Security Lares (model legacy) w wersji 1.6 zawiera zakodowane na stałe domyślne dane uwierzytelniające administratora (CWE-259), które umożliwiają nieuwierzytelnionemu atakującemu przejęcie pełnej kontroli nad systemem. Podatność jest krytyczna ze względu na brak wymagań co do uprawnień czy interakcji użytkownika.
▸ Pokaż oryginał (EN)
Ksenia Security lares (legacy model) version 1.6 contains a default credentials vulnerability that allows unauthorized attackers to gain administrative access. Attackers can exploit the weak default administrative credentials to obtain full control of the home automation system.
System automatyki domowej Ksenia Security Lares w wersji 1.6 posiada wbudowane, domyślne dane logowania do konta administratora, które nie są zmieniane w procesie konfiguracji. Atakujący zdalnie, bez żadnego uwierzytelnienia, może użyć tych znanych poświadczeń, aby zalogować się do panelu administracyjnego. Nie jest wymagana żadna interakcja ze strony użytkownika ani specjalne warunki sieciowe – dostęp możliwy jest bezpośrednio przez sieć.
Atakujący uzyskuje pełną kontrolę administracyjną nad systemem automatyki domowej, co pozwala na odczyt, modyfikację oraz zakłócanie działania zarządzanych urządzeń i procesów. Skutkiem może być kompromitacja poufności, integralności oraz dostępności całego systemu.
Należy niezwłocznie zmienić domyślne dane uwierzytelniające administratora na silne, unikalne hasło. Należy zastosować patche dostępne u producenta zgodnie z referencjami oraz ograniczyć dostęp sieciowy do panelu administracyjnego wyłącznie do zaufanych adresów IP (np. poprzez firewall lub segmentację sieci).
Ksenia Security Lares (model legacy), firmware w wersji 1.6
Podatność została zgłoszona przez ZeroScience Lab (raport ZSL-2025-5927) oraz udokumentowana w serwisie VulnCheck. Dotyczy wyłącznie modelu oznaczonego jako 'legacy'.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XKseniasecurity Lares
HWKseniasecurity4.0Kseniasecurity Lares Firmware
OSKseniasecurity1.6
Powiązane podatności
RCE w Ksenia Security Lares przez niezabezpieczony endpoint uploadu MPFS
Ksenia Security Lares – ujawnienie kodu PIN systemu alarmowego
Ksenia Security lares (legacy model) version 1.6 contains a URL redirection vulnerability in the 'cmdOk.xml' s...