CVE-2025-32975
CVE-2025-32975
En resumen
Quest KACE SMA tiene una falla crítica en su sistema de inicio de sesión que permite a los atacantes hacerse pasar por usuarios reales sin necesidad de contraseñas. Esto puede dar a los atacantes control total sobre el dispositivo.
Detalle técnico
Un bypass de autenticación en el mecanismo SSO (CWE-287) permite que atacantes no autenticados se hagan pasar por usuarios legítimos y obtengan acceso administrativo. La vulnerabilidad afecta múltiples versiones y no requiere credenciales válidas, resultando en compromiso total del appliance.
Resumen generado y traducido por IA a partir de la descripción oficial.
Quest KACE Systems Management Appliance (SMA) 13.0.x before 13.0.385, 13.1.x before 13.1.81, 13.2.x before 13.2.183, 14.0.x before 14.0.341 (Patch 5), and 14.1.x before 14.1.101 (Patch 4) contains an authentication bypass vulnerability that allows attackers to impersonate legitimate users without valid credentials. The vulnerability exists in the SSO authentication handling mechanism and can lead to complete administrative takeover.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
http://seclists.org/fulldisclosure/2025/Jun/25https://seclists.org/fulldisclosure/2025/Jun/22https://seralys.com/research/CVE-2025-32975.txthttps://support.quest.com/kb/4379499/quest-response-to-kace-sma-vulnerabilities-cve-2025-32975-cve-2025-32976-cve-2025-32977-cve-2025-32978https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-32975