Se han identificado múltiples vulnerabilidades de seguridad en HPE Insight Remote Support. Estas vulnerabilidades podrían permitir el acceso remoto a directorios, la divulgación de información o la ejecución de código.
Productos afectados
- HPE Insight Remote Support (anterior a la versión 7.15.0.646)
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-37099: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de falta de validación adecuada de una ruta proporcionada por el usuario antes de usarla en operaciones con archivos. Un actor malicioso podría aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM.
CVE-2025-37097: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de navegación de directorios que podría permitir a los actores maliciosos acceder a archivos fuera de los directorios restringidos del IRS.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbgn04878en_us
https://www.zerodayinitiative.com/advisories/ZDI-25-325/