Krytyczna luka uwierzytelniania w Quest KACE Systems Management Appliance (SMA)

CVE-2025-32975 to krytyczna luka w Quest KACE SMA umożliwiająca pominięcie uwierzytelniania i przejęcie kontroli administracyjnej. Zalecane szybkie aktualizacje.
CVE-2025-32975CVSS 10.0CISA KEVKnown Exploited

Krytyczna luka uwierzytelniania w Quest KACE Systems Management Appliance (SMA)

CVE-2025-32975 to krytyczna luka w Quest KACE SMA umożliwiająca pominięcie uwierzytelniania i przejęcie kontroli administracyjnej. Zalecane szybkie aktualizacje.

CVSS
10.0 CRITICAL
EPSS
82.15%
Aktywnie wykorzystywana
tak
Produkt
KACE Systems Management Appliance (SMA)

Co wiadomo

W urządzeniach Quest KACE SMA wersji 13.0.x do 14.1.x wykryto poważną lukę umożliwiającą pominięcie uwierzytelniania przez mechanizm SSO. Atakujący mogą podszyć się pod uprawnionych użytkowników bez ważnych poświadczeń, co może prowadzić do pełnego przejęcia kontroli administracyjnej.

Wpływ biznesowy

Luka o krytycznym poziomie CVSS 10.0 pozwala na całkowite przejęcie kontroli nad systemem zarządzania urządzeniami, co zagraża integralności i bezpieczeństwu infrastruktury IT. Operatorzy powinni traktować tę podatność priorytetowo, gdyż może ona prowadzić do nieautoryzowanego dostępu i potencjalnych szkód operacyjnych lub wycieku danych.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji u producenta Quest i wdrożenie najnowszych poprawek zabezpieczeń. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję urządzeń SMA na sieci zewnętrzne, monitorować logi pod kątem podejrzanych działań oraz przygotować plan szybkiego reagowania na incydenty.

Źródła