Ksenia Lares 4.0 远程代码执行漏洞 (ZSL-2025-5930)

关键信息 标题 Ksenia Security Lares 4.0 Home Automation Remote Code Execution 漏洞ID ZSL-2025-5930 类型 Local/Remote 影响 System Access, DoS 风险等级 4/5 发布日期 31.03.2025 描述 设备提供了对未受保护端点的访问，允许上传MPFS文件系统的二进制映像。认证的攻击者可以利用此漏洞重写包含web服务器主要接口的闪存程序存储器，导致任意代码执行。 供应商 Ksenia Security S.p.A - https://www.kseniasecurity.com 影响的版本 固件版本1.6 Web服务器版本1.0.0.15 测试对象 Ksenia Lares Web服务器 供应商状态 2024年7月3日: 漏洞被发现 2024年9月27日: 厂商已联系 2025年3月30日: 厂商无回应 2025年3月31日: 公共安全公告发布 PoC ksenia_rce.txt 发现者 Mencha Isajlovsk a - 参考 [1] https://www.zeroscience.mk/en/vulnerabilities/ZSL-2023-5796.php [2] https://www.zeroscience.mk/en/vulnerabilities/ZSL-2023-5799.php [3] https://packetstormnews.files/id/190178/ 更改日志 2025年3月31日: 初始发布 2025年4月3日: 添加参考[3] 联系方式 Zero Science Lab 网站: https://www.zeroscience.mk 电子邮件: lab@zeroscience.mk

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Ksenia Lares 4.0 远程代码执行漏洞 (ZSL-2025-5930)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！