聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞的CVSS评分为9.4,可在无需高权限、用户交互或高复杂度的情况下遭远程利用。不过利用前提是将该设备配置为一个网关(VPN虚拟服务器、ICA代理、CVPN、RDP代理)或AAA虚拟服务器。
虽然利用该漏洞可导致“敏感信息泄露”,但厂商并未说明可遭泄露的信息详情。
第二个漏洞是一个高危漏洞CVE-2023-4967(CVSS评分8.2)。利用该漏洞也需要相同的前提条件,可引发拒绝服务。
受影响产品包括:
NetScaler ADC 和 NetScaler Gateway 14.1-8.50之前的14.1版本
NetScaler ADC 和 NetScaler Gateway 13.1-49.15之前的13.1 版本
NetScaler ADC 和 NetScaler Gateway 13.0-92.19之前的13.0版本
NetScaler ADC 13.1-FIPS 13.1-37.164 之前的版本
NetScaler ADC 12.1-FIPS 12.1-55.300之前版本
NetScaler ADC 12.1-NDcPP 12.1-55.300之前版本
Citrix 公司建议更新至最新版本,尚未给出任何环境措施或应变措施。该公司在安全通告中表示,“云安全团队强烈督促NetScaler ADC 和 NetScaler Gateway的受影响客户尽快安装相关的NetScaler ADC 和 NetScaler Gateway更新版本。”
已更新版本包括:
NetScaler ADC 和 NetScaler Gateway 14.1-8.50 及后续版本
NetScaler ADC和 NetScaler Gateway 13.1-49.15 及后续 13.1版本
NetScaler ADC 和 NetScaler Gateway 13.0-92.19 及后续 13.0版本
NetScaler ADC 13.1-FIPS 13.1-37.164 及后续13.1-FIPS 版本
NetScaler ADC 12.1-FIPS 12.1-55.300 及后续 12.1-FIPS 版本
NetScaler ADC 12.1-NDcPP 12.1-55.300 及后续12.1-NDcPP版本
值得一提的是,12.1版本已达生命周期,将不再受支持。因此建议用户更新至更新的受支持版本。Citrix 产品中的高危漏洞备受黑客青睐,因为很多具有高价值资产的大型组织机构都在使用这些设备。
最近,Citrix 公司产品中的RCE漏洞CVE-2023-3519就遭利用,该公司在今年7月份将其修复。该漏洞目前已被攻击者用于植入后门并窃取凭据。
Citrix 修复 Ubuntu 版本安全访问客户端中的严重漏洞
Citrix 修复Workspace等多款产品中的多个严重漏洞
Citrix修复位于Gateway 和 ADC 中的严重漏洞
https://www.bleepingcomputer.com/news/security/new-critical-citrix-netscaler-flaw-exposes-sensitive-data/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh