Trusted DesignCVE-2025-32975 の詳細
CVEの情報
説明:
Quest KACE Systems Management Appliance (SMA) 13.0.x before 13.0.385, 13.1.x before 13.1.81, 13.2.x before 13.2.183, 14.0.x before 14.0.341 (Patch 5), and 14.1.x before 14.1.101 (Patch 4) contains an authentication bypass vulnerability that allows attackers to impersonate legitimate users without valid credentials. The vulnerability exists in the SSO authentication handling mechanism and can lead to complete administrative takeover.
CVE更新日: 2025-06-24 15:15:23.710000
CVSSバージョン: 3.1
CVSSスコア: 10.0
KEVの情報
KEV更新日: 2026-04-20
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.393150000
EPSS更新日: 2026-06-01 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: True
CVE‑2025‑32975 調査結果
1. 脆弱性の概要
KACE Systems Management Appliance(KACE SMA) に存在する認証バイパス(Authentication Bypass)脆弱性。
特定の Web リクエスト処理に不備があり、攻撃者が細工した HTTP リクエストを送信することで認証を経ずに管理機能へアクセスできる可能性がある。
※ NVD・CVE.org の一次情報では「認証バイパスの可能性がある」とのみ記載され、詳細な攻撃条件は公開されていない。
1.1 影響
1.2 深刻度
CVSS(NVD)
→ NVD は CVSS スコア未公開
CNA(割り当て元)
2. 対象となる環境
2.1 影響を受けるバージョン
NVD の CPE 情報より:
※ 現時点では「影響あり」とされるが、具体的なバージョン範囲は一次情報で未確定。
2.2 影響を受ける設定
※ 一次情報に設定依存の明記なし。
3. 影響を受けた時の兆候
公式 IOC はなし(不明)。
脆弱性の性質から発生し得る事実ベースの兆候:
(※仕様から導かれる事実であり、公式 IOC ではない)
4. 推奨対策
4.1 本対策(恒久対策)
4.2 暫定回避策(緩和策)
一次情報では公式ワークアラウンドは なし。
一般的に有効とされる緩和策(事実ベース):
参照サイト(一次情報)
NVD – CVE‑2025‑32975
CVE.org – CVE‑2025‑32975