关键漏洞信息 标题 Ksenia Security Lares 4.0 Home Automation PIN Logic Flaw ID Advisory ID: ZSL-2025-5929 类型 Local/Remote 影响 Logic Flaw, Information Disclosure, DoS, Security Bypass 风险 4/5 发布日期 31.03.2025 描述 Ksenia 利用 XML 文件基础信息里暴露的 PIN 禁用报警的状态,使访问者可以绕过安全措施,发起攻击。该缺陷导致安全系统无法使用,且通过WEB server获取文件的PIN很轻松,因此启用认证状态下就能随意访问设备。系统应避免暴露敏感信息在API响应中,对于禁用报警等功能应实施适当的多因素认证。 供应商 Ksenia Security S.p.A. - https://www.kseniasecurity.com 受影响版本 Firmware version 1.6 Webserver version 1.0.0.15 测试版本 Ksenia Lares Webserver 供应商状态 03.07.2024 发现漏洞 27.09.2024 联系供应商 30.03.2025 供应商未响应 31.03.2025 公开发布安全公告 PoC ksenia_pin.txt 发现者 Mencha Isajlovska - 联系信息 Web: https://www.zeroscience.mk e-mail: lab@zeroscience.mk