关键信息 漏洞标题 Unauthenticated License Replacement 影响产品 Quest KACE Systems Management Appliance (SMA) 影响版本 Configuration 14.1 (older versions likely affected) 修复版本 13.0.385, 13.1.81, 13.2.183, 14.0.341[Patch 5], 14.1.101[Patch 4] 厂商 Quest Software 发现时间 April 2025 安全等级 HIGH CWE 和 CVE 编号 CWE: CWE-306: Missing Authentication for Critical Function CVE: CVE-2025-32978 CVSS 分数 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) 发现者 Philippe Caturegli & Mohamed Mahmoudi (Seralys) 概述 Quest KACE SMA 允许未认证用户通过一个用于许可证续订的 Web 界面替换系统许可证。攻击者可以利用这一点用过期或试用许可证替换有效许可证,导致服务拒绝。 影响 未认证的许可证替换能力 通过许可证损坏导致的服务拒绝 管理功能中断 厂商响应 Quest 已发布针对此漏洞的修复程序,并在他们的公告中详细说明了细节和补丁可用性。 提供了受影响版本的热修复或补丁。 时间线 2025-04-14: 初始报告提交给 Quest Software 2025-04-14: 厂商确认收到报告并启动协调披露 2025-05-08: Quest 分享了一个初步的热修复与 Seralys 2025-05-17: Seralys 确认热修复解决了报告的问题 2025-05-27: Quest 公开发布了 CVE-2025-32978 的热修复 2025-06-23: 高级别公开披露由 Seralys 进行