关键信息 漏洞标题 Unauthenticated Backup Upload 影响产品 Quest KACE Systems Management Appliance (SMA) 影响版本 14.1(旧版本可能受影响) 修复版本 13.0.385, 13.1.81, 13.2.183, 14.0.341(Patch 5), 14.1.101(Patch 4) 厂商 Quest Software 发现日期 April 2025 安全等级 CRITICAL CWE 编号 CWE-347: Improper Verification of Cryptographic Signature CVE-2025-32977 CVSS 分数 9.6 (AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H) 发现者 Philippe Caturegli & Mohamed Mahmoudi (Seralys) 概述 Quest KACE SMA 允许未认证用户上传备份文件到系统。虽然实现了签名验证,但验证过程中的弱点可以被利用来上传恶意备份内容,从而危及系统完整性。 影响 未认证的备份文件上传能力 潜在的恶意数据注入 系统完整性受损 厂商响应 Quest 已发布修复此漏洞的补丁,并在协调披露过程中详细记录了补丁可用性。 补丁已通过热修复或修补程序解决以下 KACE SMA 版本的问题: - 13.0.385 - 13.1.81 - 13.2.183 - 14.0.341 (Patch 5) - 14.1.101 (Patch 4) 时间线 2025-04-14: 初始报告提交给 Quest Software 2025-04-14: 厂商确认并开始协调 2025-05-08: Quest 分享初步热修复与 Seralys 2025-05-17: Seralys 确认热修复解决了报告的问题 2025-05-27: Quest 公开发布 CVE-2025-32977 的热修复 2025-06-23: 高级别公开披露由 Seralys 进行