更新時間:2026/04/21 17:03:58
發佈時間:2026/04/21 17:03:58
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1][2][3][4][5]
Quest KACE Systems Management Appliance(SMA)存在四項重大及高風險漏洞,說明如下:
1. CVE-2025-32975:
此漏洞存在於SSO身分驗證處理機制中,允許攻擊者在未具備有效憑證的情況下偽冒合法使用者身分,進而導致系統管理權限遭完全接管。
2. CVE-2025-32976:
此漏洞存在於雙因素驗證(2FA)流程中,允許已通過身分驗證的使用者繞過基於TOTP(Time-Based One-Time Password)的雙因素驗證要求,進而取得較高權限。
3. CVE-2025-32977:
此漏洞允許未經身分驗證的使用者上傳備份檔案至系統。雖系統已實作簽章驗證機制,惟其驗證流程存在缺陷,攻擊者可利用該缺陷上傳惡意備份內容,進而影響系統完整性。
4. CVE-2025-32978:
此漏洞允許未經身分驗證的使用者透過網頁介面更新授權,攻擊者可利用此漏洞,以過期或試用授權取代有效授權,導致服務阻斷。
二、已揭露攻擊活動說明
1. CISA已將CVE-2025-32975納入漏洞利用清單。[6]
2. Arctic Wolf已觀測到CVE-2025-32975野外利用活動,並提供相關攻擊手法與技術分析。[7]
▶ 漏洞資訊
⌵
名稱:
CVE-2025-32975、CVE-2025-32976、CVE-2025-32977、CVE-2025-32978
描述:
使用版本:CVSS 3.1
分析分數:10、8.8、9.6、7.5
參考來源:CISA-ADP
▶ 影響平台
⌵
影響平台-系統:
1. Quest KACE Systems Management Appliance 13.0.x:13.0.385(不含)以前版本受影響,建議升級至13.0.385或以上版本。
2. Quest KACE Systems Management Appliance 13.1.x: 13.1.81(不含)以前版本受影響,建議升級至13.1.81或以上版本。
3. Quest KACE Systems Management Appliance 13.2.x:13.2.183(不含)以前版本受影響,建議升級至13.2.183或以上版本。
4. Quest KACE Systems Management Appliance 14.0.x: 14.0.341(Patch 5)(不含)以前版本受影響,建議升級至14.0.341(Patch 5)或以上版本。
5. Quest KACE Systems Management Appliance 14.1.x:14.1.101(Patch 4)(不含)以前版本受影響,建議升級至14.1.101(Patch 4)或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://support.quest.com/kb/4379499/quest-response-to-kace-sma-vulnerabilities-cve-2025-32975-cve-2025-32976-cve-2025-32977-cve-2025-32978 | Quest |
| 2 | https://nvd.nist.gov/vuln/detail/CVE-2025-32975 | NVD(CVE-2025-32975) |
| 3 | https://nvd.nist.gov/vuln/detail/cve-2025-32976 | NVD(CVE-2025-32976) |
| 4 | https://nvd.nist.gov/vuln/detail/CVE-2025-32977 | NVD(CVE-2025-32977) |
| 5 | https://nvd.nist.gov/vuln/detail/CVE-2025-32978 | NVD(CVE-2025-32978) |
| 6 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
| 7 | https://arcticwolf.com/resources/blog/cve-2025-32975/ | Arctic Wolf |
情資編號:
FISAC-200-202604-0008
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞