CVE-2025-32975
CVE-2025-32975
Vexday Risk Score
58Atenção
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 10EPSS 2.4%KEV simPoC —Nuclei —Metasploit —Patch —
Ciclo de vida
24 jun 2025Publicada no NVD
20 abr 2026Exploração ativa (CISA KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
O Quest KACE SMA possui uma falha crítica no seu sistema de login que permite que invasores se façam passar por usuários reais sem precisar de senhas. Isso pode dar aos invasores controle total sobre o dispositivo.
Detalhe técnico
Um bypass de autenticação no mecanismo SSO (CWE-287) permite que atacantes não autenticados se façam passar por usuários legítimos e obtenham acesso administrativo. A vulnerabilidade afeta múltiplas versões e não requer credenciais válidas, resultando em comprometimento total do appliance.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Quest KACE Systems Management Appliance (SMA) 13.0.x before 13.0.385, 13.1.x before 13.1.81, 13.2.x before 13.2.183, 14.0.x before 14.0.341 (Patch 5), and 14.1.x before 14.1.101 (Patch 4) contains an authentication bypass vulnerability that allows attackers to impersonate legitimate users without valid credentials. The vulnerability exists in the SSO authentication handling mechanism and can lead to complete administrative takeover.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://seclists.org/fulldisclosure/2025/Jun/25https://seclists.org/fulldisclosure/2025/Jun/22https://seralys.com/research/CVE-2025-32975.txthttps://support.quest.com/kb/4379499/quest-response-to-kace-sma-vulnerabilities-cve-2025-32975-cve-2025-32976-cve-2025-32977-cve-2025-32978https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-32975