[TLP:CLEAR] Citrix opravuje 3 zranitelnosti
Citrix opravuje 3 zranitelnosti ve svých produktech [1]. Zranitelnost CVE-2025-7775 byla zařazena do katalogu známých zneužívaných zranitelností agentury CISA [2]. Jednotlivé produkty a jejich opravené verze: NetScaler ADC - 14.1-47.48, 13.1-59.22, 13.1-37.241-FIPS, 13.1-37.241-NDcPP, 12.1-55.330-FIPS, 12.1-55.330-NDcPP [1] NetScaler Gateway - 14.1-47.48, 13.1-59.22 [1]
Neautentizovanému vzdálenému útočníkovi je umožněno vykonat libovolný kód nebo DoS útok. Detailní informace ke konkrétním zranitelným konfiguracím naleznete na [1].
Zranitelnost se nachází v produktech:
- NetScaler ADC ve verzích (>=14.1 AND <14.1-47.48) OR (>=13.1 AND <13.1-59.22) OR (13.1-FIPS AND <13.1-37.241-FIPS) OR (>=13.1-NDcPP AND <13.1-37.241-NDcPP) OR (>=12.1-FIPS AND <12.1-55.330-FIPS) OR (>=12.1-NDcPP AND <12.1-55.330-NDcPP)
- NetScaler Gateway ve verzích (>=14.1 AND <14.1-47.48) OR (>=13.1 AND <13.1-59.22)
CVSS: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
Více informací:
- CVE-2025-7775 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 8. 2025.
Neautentizovanému vzdálenému útočníkovi je umožněno způsobit nepředvídatelné nebo chybné chování systému a vykonat DoS útok, je-li produkt nakonfigurován jako Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) s vázaným PCoIP profilem [1].
Zranitelnost se nachází v produktech:
- NetScaler ADC ve verzích (>=14.1 AND <14.1-47.48) OR (>=13.1 AND <13.1-59.22) OR (13.1-FIPS AND <13.1-37.241-FIPS) OR (>=13.1-NDcPP AND <13.1-37.241-NDcPP) OR (>=12.1-FIPS AND <12.1-55.330-FIPS) OR (>=12.1-NDcPP AND <12.1-55.330-NDcPP)
- NetScaler Gateway ve verzích (>=14.1 AND <14.1-47.48) OR (>=13.1 AND <13.1-59.22)
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:L
Více informací:
- CVE-2025-7776 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 8. 2025.
Neautentizovanému útočníkovi v lokální síti je umožněno neoprávněně číst soubory na zařízení, pokud má přístup k NetScaler IP (NSIP), Cluster Management IP (CLIP), Global Server Load Balancing Site IP (GSLB IP) nebo Subnet IP (SNIP) s povoleným přístupem pro správu [1].
Zranitelnost se nachází v produktech:
- NetScaler ADC ve verzích (>=14.1 AND <14.1-47.48) OR (>=13.1 AND <13.1-59.22) OR (13.1-FIPS AND <13.1-37.241-FIPS) OR (>=13.1-NDcPP AND <13.1-37.241-NDcPP) OR (>=12.1-FIPS AND <12.1-55.330-FIPS) OR (>=12.1-NDcPP AND <12.1-55.330-NDcPP)
- NetScaler Gateway ve verzích (>=14.1 AND <14.1-47.48) OR (>=13.1 AND <13.1-59.22)
CVSS: CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
Více informací:
- CVE-2025-8424 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1284: Improper Validation of Specified Quantity in Input at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 8. 2025.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 27. 8. 2025.
