CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-32975

Quest KACE SMA — Authentication Bypass w mechanizmie SSO (CVSS 10.0)

CVSS 10.0v3.1pub. 2025-06-24upd. 2026-04-21

Quest KACE Systems Management Appliance (SMA) zawiera krytyczną podatność authentication bypass, która umożliwia atakującemu podszycie się pod dowolnego użytkownika bez posiadania prawidłowych danych uwierzytelniających. Podatność jest aktywnie exploitowana i może prowadzić do całkowitego przejęcia uprawnień administracyjnych urządzenia.

Pokaż oryginał (EN)

Quest KACE Systems Management Appliance (SMA) 13.0.x before 13.0.385, 13.1.x before 13.1.81, 13.2.x before 13.2.183, 14.0.x before 14.0.341 (Patch 5), and 14.1.x before 14.1.101 (Patch 4) contains an authentication bypass vulnerability that allows attackers to impersonate legitimate users without valid credentials. The vulnerability exists in the SSO authentication handling mechanism and can lead to complete administrative takeover.

🤖 Analiza AI
Jak działa

Podatność (CWE-287 — nieprawidłowe uwierzytelnienie) tkwi w mechanizmie obsługi uwierzytelniania SSO (Single Sign-On). Atakujący zdalnie, bez żadnych uprawnień ani interakcji ze strony użytkownika, może spreparować żądanie, które błędnie zostanie potraktowane przez system jako pochodzące od uwierzytelnionego użytkownika. W efekcie napastnik jest w stanie skutecznie impersonować dowolnego użytkownika, w tym administratora, nie znając jego hasła ani innych danych uwierzytelniających.

Skutki

Atakujący może uzyskać pełne uprawnienia administracyjne nad urządzeniem KACE SMA, co w konsekwencji daje mu kontrolę nad zarządzanymi zasobami IT — całkowite przejęcie systemu zarządzania infrastrukturą (kompromitacja poufności, integralności i dostępności).

Mitygacja

Należy niezwłocznie zaktualizować Quest KACE SMA do wersji: 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) lub 14.1.101 (Patch 4) zgodnie z komunikatem producenta dostępnym pod adresem: https://support.quest.com/kb/4379499. Do czasu zastosowania patcha zaleca się ograniczenie dostępu do interfejsu zarządzania wyłącznie do zaufanych sieci.

Kogo dotyczy

Quest KACE Systems Management Appliance (SMA) w wersjach: 13.0.x przed 13.0.385, 13.1.x przed 13.1.81, 13.2.x przed 13.2.183, 14.0.x przed 14.0.341 (Patch 5) oraz 14.1.x przed 14.1.101 (Patch 4)

Uwagi

Podatność jest notowana w katalogu CISA Known Exploited Vulnerabilities (KEV) jako aktywnie wykorzystywana. Szczegóły techniczne zostały opublikowane w ramach pełnego ujawnienia (Full Disclosure) przez serwis Seralys Research w czerwcu 2025 roku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Quest Kace Systems Management Appliance

    APP
    Quest
    13.0 – 13.0.385 (bez)13.1 – 13.1.81 (bez)13.2 – 13.2.183 (bez)14.0 – 14.0.341 (bez)14.1 – 14.1.101 (bez)

CISA KEV — szczegółyi

Dostawcai
Quest
Produkti
KACE Systems Management Appliance (SMA)
Data dodania do KEVi
20 kwietnia 2026
Termin remediation (USA)i
4 maja 2026(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z odpowiednimi wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Quest KACE Systems Management Appliance (SMA) zawiera lukę w uwierzytelnieniu, która może pozwolić atakującym na podszywanie się pod uprawnionych użytkowników bez ważnych poświadczeń.

tłumaczenie AI
Pokaż oryginał (EN)

Quest KACE Systems Management Appliance (SMA) contains an improper authentication vulnerability that could allow attackers to impersonate legitimate users without valid credentials.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 4 maja 2026
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2022-29807CRITICAL9.8ten sam produkt

A SQL injection vulnerability exists within Quest KACE Systems Management Appliance (SMA) through 12.0 that ca...

CVE-2022-30285CRITICAL9.8ten sam produkt

In Quest KACE Systems Management Appliance (SMA) through 12.0, a hash collision is possible during authenticat...

CVE-2019-12918CRITICAL9.8ten sam produkt

Quest KACE Systems Management Appliance Server Center version 9.1.317 is vulnerable to SQL injection. The affe...

CVE-2017-12567CRITICAL9.8ten sam produkt

SQL injection exists in Quest KACE Asset Management Appliance 6.4.120822 through 7.2, Systems Management Appli...

CVE-2022-29808HIGH7.5ten sam produkt

In Quest KACE Systems Management Appliance (SMA) through 12.0, predictable token generation occurs when applia...