[TLP:CLEAR] Citrix opravuje kritickou zranitelnost
Citrix opravuje kritickou zranitelnost ve svých produktech [1]. Produkty a jejich opravené verze: NetScaler ADC: 13.1-59.19, 14.1-47.46, 13.1-37.236-FIPS, 13.1-37.236-NDcPP NetScaler Gateway: 13.1-59.19, 14.1-47.46
Neautentizovanému vzdálenému útočníkovi je umožněno vykonat útok DoS, je-li produkt nakonfigurován jako Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) nebo jako AAA virtual server. Zranitelnost je již aktivně zneužívána a týká se také on-prem/Hybrid nasazení služby Secure Private Access [1].
Zranitelnost se nachází v produktech:
- NetScaler ADC ve verzích (>=12.1 AND <=12.1-65.39) OR (>=13.1 AND <13.1-59.19) OR (>=14.1 AND <14.1-47.46)
- NetScaler ADC ve verzích >=13.1-FIPS AND <13.1-37.236-FIPS
- NetScaler ADC ve verzích >=13.1-NDcPP AND <13.1-37.236-NDcPP
- NetScaler Gateway ve verzích (>=12.1 AND <=12.1-65.39) OR (>=13.1 AND <13.1-59.19) OR (>=14.1 AND <14.1-47.46)
CVSS: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
Více informací:
- CVE-2025-6543 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zranitelnost byla veřejně oznámena 25. 6. 2025.
Za CESNET-CERTS Michaela Ručková dne 26. 6. 2025.