HPE 已发布紧急安全公告，解决在其 Insight Remote Support 服务中发现的多个关键漏洞。 这些漏洞可使攻击者在未经授权的情况下访问敏感信息，甚至远程执行恶意代码。

这些漏洞的严重程度不等，CVSS 评分高达 9.8，包括

• XML 外部实体注入 （XXE） 漏洞（CVE-2024-11622、CVE-2024-53673、CVE-2024-53674、CVE-2024-53675）： 这些漏洞可让攻击者从受影响系统中提取机密数据。
• Java 反序列化漏洞 （CVE-2024-53673）： 此漏洞可让未经认证的攻击者在受影响系统上执行任意代码。
• 目录遍历漏洞 （CVE-2024-53676）： 此严重漏洞的 CVSS 得分为 9.8，可允许远程攻击者在受影响的系统上执行代码。

这些漏洞是由与趋势科技零日计划合作的匿名研究人员向 HPE 报告的。 HPE 已迅速采取行动，通过发布 Insight Remote Support v7.14.0.629 来应对这些威胁。 此更新包含所有已识别漏洞的补丁。

HPE 强烈呼吁用户立即更新其 Insight Remote Support 安装，以降低被利用的风险。 用户可以通过导航到应用程序内的 “管理员设置”>“软件更新 ”来更新他们的系统。

HPE在其安全公告中指出：“为了从最新功能和产品支持中获益，HPE建议从自动更新级别下拉列表中启用自动下载和安装选项，自动安装最新的可用软件。”