CVE-2025-15114 — 神龙十问 AI 深度分析摘要

🚨 **本质**：敏感信息泄露。basisInfo XML文件暴露了警报系统的 **PIN码**。后果：攻击者可 **绕过安全措施** 并 **禁用警报系统**，导致家庭安防形同虚设。

🔍 **CWE-403**：Excessive Privileges（虽然描述为信息泄露，但归类于此通常指权限控制不当导致敏感数据暴露）。缺陷点在于 **身份验证后** 的 XML 文件未对关键凭证进行保护。

🏠 **受影响产品**：Ksenia Security Lares 4.0 Home Automation。具体 **版本**：1.6。厂商：意大利 Ksenia Security S.p.A.。

💀 **黑客能力**：获取 **警报系统 PIN**。权限提升：从普通用户或无权限状态（若存在认证绕过）到完全控制安防系统。数据泄露：核心安全凭证。

⚠️ **门槛低**。CVSS显示 **PR:N**（无需权限），但描述提到“身份验证后”。这意味着可能需要先登录系统，或利用其他漏洞获取初始访问权限，才能读取该 XML 文件。

📄 **无现成Exp**。漏洞数据中 `pocs` 字段为空。参考链接指向 Zero Science Lab 和 VulnCheck 的披露报告，但未提供公开可用的利用代码。

🔎 **自查方法**：检查系统是否存在 `basisInfo` XML 文件。扫描该文件内容，看是否包含明文或可逆加密的 **PIN码** 字段。关注 Lares 4.0 系统的 API 响应或文件存储结构。

🛡️ **官方修复**：数据未提及具体补丁版本。建议联系厂商 Ksenia Security 或查阅其官方安全公告，确认是否有更新版本修复此 XML 暴露问题。

🚧 **临时规避**：1. **网络隔离**：限制对 Lares 系统管理接口的访问。2. **权限最小化**：确保只有必要用户能访问系统配置。3. **监控**：监控对 `basisInfo` 文件的异常访问。

🔥 **优先级：高**。CVSS 评分为 **9.1 (Critical)**。虽然可能需要认证，但后果严重（禁用警报）。建议立即排查，优先应用缓解措施，等待官方补丁。