Krytyczna luka uwierzytelniania w Quest KACE Systems Management Appliance (SMA)
CVE-2025-32975 to krytyczna luka w Quest KACE SMA umożliwiająca pominięcie uwierzytelniania i przejęcie kontroli administracyjnej. Zalecane szybkie aktualizacje.
- CVSS
- 10.0 CRITICAL
- EPSS
- 82.15%
- Aktywnie wykorzystywana
- tak
- Produkt
- KACE Systems Management Appliance (SMA)
Co wiadomo
W urządzeniach Quest KACE SMA wersji 13.0.x do 14.1.x wykryto poważną lukę umożliwiającą pominięcie uwierzytelniania przez mechanizm SSO. Atakujący mogą podszyć się pod uprawnionych użytkowników bez ważnych poświadczeń, co może prowadzić do pełnego przejęcia kontroli administracyjnej.
Wpływ biznesowy
Luka o krytycznym poziomie CVSS 10.0 pozwala na całkowite przejęcie kontroli nad systemem zarządzania urządzeniami, co zagraża integralności i bezpieczeństwu infrastruktury IT. Operatorzy powinni traktować tę podatność priorytetowo, gdyż może ona prowadzić do nieautoryzowanego dostępu i potencjalnych szkód operacyjnych lub wycieku danych.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji u producenta Quest i wdrożenie najnowszych poprawek zabezpieczeń. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję urządzeń SMA na sieci zewnętrzne, monitorować logi pod kątem podejrzanych działań oraz przygotować plan szybkiego reagowania na incydenty.