CRITICAL🇬🇧 English

CVE-2025-15111

Domyślne dane uwierzytelniające w Ksenia Security Lares – pełny dostęp administracyjny

CVSS 9.3v4.0pub. 2025-12-30upd. 2026-03-11

Ksenia Security Lares (model legacy) w wersji 1.6 zawiera zakodowane na stałe domyślne dane uwierzytelniające administratora (CWE-259), które umożliwiają nieuwierzytelnionemu atakującemu przejęcie pełnej kontroli nad systemem. Podatność jest krytyczna ze względu na brak wymagań co do uprawnień czy interakcji użytkownika.

Pokaż oryginał (EN)

Ksenia Security lares (legacy model) version 1.6 contains a default credentials vulnerability that allows unauthorized attackers to gain administrative access. Attackers can exploit the weak default administrative credentials to obtain full control of the home automation system.

🤖 Analiza AI
Jak działa

System automatyki domowej Ksenia Security Lares w wersji 1.6 posiada wbudowane, domyślne dane logowania do konta administratora, które nie są zmieniane w procesie konfiguracji. Atakujący zdalnie, bez żadnego uwierzytelnienia, może użyć tych znanych poświadczeń, aby zalogować się do panelu administracyjnego. Nie jest wymagana żadna interakcja ze strony użytkownika ani specjalne warunki sieciowe – dostęp możliwy jest bezpośrednio przez sieć.

Skutki

Atakujący uzyskuje pełną kontrolę administracyjną nad systemem automatyki domowej, co pozwala na odczyt, modyfikację oraz zakłócanie działania zarządzanych urządzeń i procesów. Skutkiem może być kompromitacja poufności, integralności oraz dostępności całego systemu.

Mitygacja

Należy niezwłocznie zmienić domyślne dane uwierzytelniające administratora na silne, unikalne hasło. Należy zastosować patche dostępne u producenta zgodnie z referencjami oraz ograniczyć dostęp sieciowy do panelu administracyjnego wyłącznie do zaufanych adresów IP (np. poprzez firewall lub segmentację sieci).

Kogo dotyczy

Ksenia Security Lares (model legacy), firmware w wersji 1.6

Uwagi

Podatność została zgłoszona przez ZeroScience Lab (raport ZSL-2025-5927) oraz udokumentowana w serwisie VulnCheck. Dotyczy wyłącznie modelu oznaczonego jako 'legacy'.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Kseniasecurity Lares

    HW
    Kseniasecurity
    4.0
  • Kseniasecurity Lares Firmware

    OS
    Kseniasecurity
    1.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-15113CRITICAL9.3PL ✓ten sam produkt

RCE w Ksenia Security Lares przez niezabezpieczony endpoint uploadu MPFS

CVE-2025-15114CRITICAL9.3PL ✓ten sam produkt

Ksenia Security Lares – ujawnienie kodu PIN systemu alarmowego

CVE-2025-15112MEDIUM5.1ten sam produkt

Ksenia Security lares (legacy model) version 1.6 contains a URL redirection vulnerability in the 'cmdOk.xml' s...