CRITICAL🇬🇧 English

CVE-2025-37099

RCE w HPE Insight Remote Support — krytyczna podatność zdalna

CVSS 9.8v3.1pub. 2025-07-01upd. 2025-07-10

W HPE Insight Remote Support (IRS) w wersjach wcześniejszych niż v7.15.0.646 istnieje krytyczna podatność umożliwiająca zdalne wykonanie kodu (RCE). Atakujący nieuwierzytelniony zdalnie może w pełni przejąć kontrolę nad podatnym systemem.

Pokaż oryginał (EN)

A remote code execution vulnerability exists in HPE Insight Remote Support (IRS) prior to v7.15.0.646.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-94 (Improper Control of Generation of Code) wskazuje na możliwość wstrzyknięcia lub manipulacji kodem wykonywanym przez aplikację. Atakujący może wysyłać specjalnie spreparowane żądania do systemu IRS bez konieczności uwierzytelnienia, co prowadzi do wykonania dowolnego kodu po stronie serwera. Wektor sieciowy (AV:N) przy braku wymagań dotyczących uprawnień (PR:N) i interakcji użytkownika (UI:N) oznacza pełną eksploatację zdalną.

Skutki

Udana eksploatacja umożliwia atakującemu pełne przejęcie systemu — naruszenie poufności, integralności oraz dostępności danych i usług. Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych informacji zarządzanych przez IRS, zmodyfikować konfigurację lub całkowicie wyłączyć usługę.

Mitygacja

Należy niezwłocznie zaktualizować HPE Insight Remote Support do wersji v7.15.0.646 lub nowszej. Szczegółowe instrukcje aktualizacji dostępne są w oficjalnym biuletynie bezpieczeństwa HPE pod adresem: https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbgn04878en_us&docLocale=en_US

Kogo dotyczy

HPE Insight Remote Support (IRS) we wszystkich wersjach wcześniejszych niż v7.15.0.646

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • HPE Insight Remote Support

    APP
    Hpe
    < 7.15.0.646
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-53676CRITICAL9.8PL ✓ten sam produkt

Path Traversal w HPE Insight Remote Support umożliwiający RCE

CVE-2025-37098HIGH7.5ten sam produkt

A path traversal vulnerability exists in HPE Insight Remote Support (IRS) prior to v7.15.0.646.

CVE-2025-37097HIGH7.5ten sam produkt

A vulnerability in HPE Insight Remote Support (IRS) prior to v7.15.0.646 may allow an unauthenticated denial o...

CVE-2024-53674HIGH7.3ten sam produkt

An XML external entity injection (XXE) vulnerability in HPE Insight Remote Support may allow remote users to d...

CVE-2024-53675HIGH7.3ten sam produkt

An XML external entity injection (XXE) vulnerability in HPE Insight Remote Support may allow remote users to d...