Vulnerabilidad en Quest KACE Systems Management Appliance (CVE-2025-32975)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
24/06/2025
Última modificación:
21/04/2026
Descripción
Quest KACE Systems Management Appliance (SMA) 13.0.x (anterior a la 13.0.385), 13.1.x (anterior a la 13.1.81), 13.2.x (anterior a la 13.2.183), 14.0.x (anterior a la 14.0.341 [Parche 5]) y 14.1.x (anterior a la 14.1.101 [Parche 4]) contienen una vulnerabilidad de omisión de autenticación que permite a los atacantes suplantar la identidad de usuarios legítimos sin credenciales válidas. Esta vulnerabilidad se encuentra en el mecanismo de gestión de la autenticación SSO y puede provocar la toma de control administrativo completo.
Impacto
Puntuación base 3.x
10.00
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:quest:kace_systems_management_appliance:*:*:*:*:*:*:*:* | 13.0 (incluyendo) | 13.0.385 (excluyendo) |
| cpe:2.3:a:quest:kace_systems_management_appliance:*:*:*:*:*:*:*:* | 13.1 (incluyendo) | 13.1.81 (excluyendo) |
| cpe:2.3:a:quest:kace_systems_management_appliance:*:*:*:*:*:*:*:* | 13.2 (incluyendo) | 13.2.183 (excluyendo) |
| cpe:2.3:a:quest:kace_systems_management_appliance:*:*:*:*:*:*:*:* | 14.0 (incluyendo) | 14.0.341 (excluyendo) |
| cpe:2.3:a:quest:kace_systems_management_appliance:*:*:*:*:*:*:*:* | 14.1 (incluyendo) | 14.1.101 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://seclists.org/fulldisclosure/2025/Jun/22
- https://seralys.com/research/CVE-2025-32975.txt
- https://support.quest.com/kb/4379499/quest-response-to-kace-sma-vulnerabilities-cve-2025-32975-cve-2025-32976-cve-2025-32977-cve-2025-32978
- http://seclists.org/fulldisclosure/2025/Jun/25
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-32975