CRITICAL🇬🇧 English

CVE-2025-15113

RCE w Ksenia Security Lares przez niezabezpieczony endpoint uploadu MPFS

CVSS 9.3v3.1pub. 2025-12-30upd. 2026-03-11

Ksenia Security Lares Home Automation w wersji 1.6 (model legacy) zawiera niezabezpieczony endpoint umożliwiający uwierzytelnionym atakującym przesyłanie binarnych obrazów systemu plików MPFS. Podatność jest krytyczna, gdyż pozwala na nadpisanie pamięci flash i potencjalne wykonanie dowolnego kodu na serwerze webowym systemu automatyki domowej.

Pokaż oryginał (EN)

Ksenia Security lares (legacy model) Home Automation version 1.6 contains an unprotected endpoint vulnerability that allows authenticated attackers to upload MPFS File System binary images. Attackers can exploit this vulnerability to overwrite flash program memory and potentially execute arbitrary code on the home automation system's web server.

🤖 Analiza AI
Jak działa

System udostępnia endpoint do przesyłania binarnych obrazów systemu plików MPFS, który nie jest odpowiednio chroniony mimo wymagania uwierzytelnienia. Atakujący z dostępem do konta (nawet o niskich uprawnieniach) może przesłać spreparowany obraz binarny MPFS za pośrednictwem tego endpointu. Przesłany plik nadpisuje pamięć flash urządzenia, co może prowadzić do wykonania dowolnego kodu (RCE) na wbudowanym serwerze webowym systemu automatyki domowej. Podatność wiąże się również z nieodpowiednim przechowywaniem danych uwierzytelniających (CWE-256, CWE-522).

Skutki

Atakujący może nadpisać pamięć flash urządzenia i wykonać dowolny kod na serwerze webowym systemu automatyki domowej, co może skutkować pełnym przejęciem kontroli nad urządzeniem, a w konsekwencji nad połączonymi elementami instalacji domowej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. W przypadku braku dostępnej aktualizacji zaleca się odizolowanie urządzenia od sieci publicznej, ograniczenie dostępu do interfejsu webowego wyłącznie do zaufanych hostów oraz monitorowanie prób nieautoryzowanego przesyłania plików.

Kogo dotyczy

Ksenia Security Lares Home Automation w wersji 1.6 (model legacy) — oprogramowanie firmware Kseniasecurity Lares.

Uwagi

Podatność została zgłoszona przez ZeroScience Lab (ZSL-2025-5930) i opublikowana 2025-12-30. Exploit dostępny publicznie w serwisie PacketStorm. Dotyczy wyłącznie modelu oznaczonego jako 'legacy'.

CVSS Vector
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Kseniasecurity Lares

    HW
    Kseniasecurity
    4.0
  • Kseniasecurity Lares Firmware

    OS
    Kseniasecurity
    1.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-15111CRITICAL9.3PL ✓ten sam produkt

Domyślne dane uwierzytelniające w Ksenia Security Lares – pełny dostęp administracyjny

CVE-2025-15114CRITICAL9.3PL ✓ten sam produkt

Ksenia Security Lares – ujawnienie kodu PIN systemu alarmowego

CVE-2025-15112MEDIUM5.1ten sam produkt

Ksenia Security lares (legacy model) version 1.6 contains a URL redirection vulnerability in the 'cmdOk.xml' s...

CVE-2025-15113 — RCE w Ksenia Security Lares przez niezabezpieczony endpoint uploadu MPFS — CRITICAL 9.3 | CVEbaza.pl