← voltar
CVE-2025-32975

CVE-2025-32975

CVSS 10 CRITICALEPSS 2.4%● KEVCWE-287
Em resumo

O Quest KACE SMA possui uma falha crítica no seu sistema de login que permite que invasores se façam passar por usuários reais sem precisar de senhas. Isso pode dar aos invasores controle total sobre o dispositivo.

Detalhe técnico

Um bypass de autenticação no mecanismo SSO (CWE-287) permite que atacantes não autenticados se façam passar por usuários legítimos e obtenham acesso administrativo. A vulnerabilidade afeta múltiplas versões e não requer credenciais válidas, resultando em comprometimento total do appliance.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Quest KACE Systems Management Appliance (SMA) 13.0.x before 13.0.385, 13.1.x before 13.1.81, 13.2.x before 13.2.183, 14.0.x before 14.0.341 (Patch 5), and 14.1.x before 14.1.101 (Patch 4) contains an authentication bypass vulnerability that allows attackers to impersonate legitimate users without valid credentials. The vulnerability exists in the SSO authentication handling mechanism and can lead to complete administrative takeover.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://seclists.org/fulldisclosure/2025/Jun/25https://seclists.org/fulldisclosure/2025/Jun/22https://seralys.com/research/CVE-2025-32975.txthttps://support.quest.com/kb/4379499/quest-response-to-kace-sma-vulnerabilities-cve-2025-32975-cve-2025-32976-cve-2025-32977-cve-2025-32978https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-32975