Quest KACE - CVE-2025-32975
Date de publication :
Un défaut de gestion du mécanisme d’authentification SSO (Single Sign-On) dans les appliances Quest KACE Systems Management Appliance (SMA) permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, d’obtenir un compte administrateur.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Contournement de la politique de sécurité
Exploitation
La vulnérabilité exploitée est du type
CWE-287: Improper Authentication
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Quest KACE Systems Management Appliance :
Versions 13.0.x antérieures à 13.0.385
Versions 13.1.x antérieures à 13.1.81
Versions 13.2.x antérieures à 13.2.183
Versions 14.0.x antérieures à 14.0.341 (Patch 5)
Versions 14.1.x antérieures à 14.1.101 (Patch 4)
Solutions ou recommandations
Mettre à jour Quest KACE Systems Management Appliance vers la version 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5), 14.1.101 (Patch 4) ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin de Quest.