Quest KACE - CVE-2025-32976
Date de publication :
Un défaut de logique dans l’implémentation du 2FA de Quest KACE Systems Management Appliance (SMA) permet à un attaquant authentifié de contourner les protections d’authentification multifacteur.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Contournement de la politique de sécurité
Exploitation
La vulnérabilité exploitée est du type
CWE-288: Authentication Bypass Using an Alternate Path or Channel
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Quest KACE Systems Management Appliance
Versions 13.0.x antérieures à 13.0.385
Versions 13.1.x antérieures à 13.1.81
Versions 13.2.x antérieures à 13.2.183
Versions 14.0.x antérieures à 14.0.341 (Patch 5)
Versions 14.1.x antérieures à 14.1.101 (Patch 4)
Solutions ou recommandations
Mettre à jour Quest KACE Systems Management Appliance vers la version 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5), 14.1.101 (Patch 4) ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin de Quest.