CVE-2024-53676

HPE 已发布紧急安全公告,解决在其 Insight Remote Support 服务中发现的多个关键漏洞。 这些漏洞可使攻击者在未经授权的情况下访问敏感信息,甚至远程执行恶意代码。

这些漏洞的严重程度不等,CVSS 评分高达 9.8,包括

XML 外部实体注入 (XXE) 漏洞(CVE-2024-11622、CVE-2024-53673、CVE-2024-53674、CVE-2024-53675): 这些漏洞可让攻击者从受影响系统中提取机密数据。

Java 反序列化漏洞 (CVE-2024-53673): 此漏洞可让未经认证的攻击者在受影响系统上执行任意代码。

目录遍历漏洞 (CVE-2024-53676): 此严重漏洞的 CVSS 得分为 9.8,可允许远程攻击者在受影响的系统上执行代码。

这些漏洞是由与趋势科技零日计划合作的匿名研究人员向 HPE 报告的。 HPE 已迅速采取行动,通过发布 Insight Remote Support v7.14.0.629 来应对这些威胁。 此更新包含所有已识别漏洞的补丁。

HPE 强烈呼吁用户立即更新其 Insight Remote Support 安装,以降低被利用的风险。 用户可以通过导航到应用程序内的 “管理员设置”>“软件更新 ”来更新他们的系统。

HPE在其安全公告中指出:“为了从最新功能和产品支持中获益,HPE建议从自动更新级别下拉列表中启用自动下载和安装选项,自动安装最新的可用软件。”

文章原文链接:https://www.anquanke.com/post/id/302255