CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-6543

Przepełnienie pamięci w Citrix NetScaler ADC i Gateway – RCE/DoS przez VPN

CVSS 9.2v4.0pub. 2025-06-25upd. 2025-10-24

Podatność typu memory overflow w Citrix NetScaler ADC i NetScaler Gateway umożliwia atakującemu przejęcie kontroli nad przepływem wykonania programu oraz wywołanie odmowy usługi (DoS). Podatność jest aktywnie eksploitowana w środowiskach produkcyjnych.

Pokaż oryginał (EN)

Memory overflow vulnerability leading to unintended control flow and Denial of Service in NetScaler ADC and NetScaler Gateway when configured as Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) OR AAA virtual server

🤖 Analiza AI
Jak działa

Błąd klasy CWE-119 (przepełnienie bufora pamięci) występuje w komponentach obsługujących ruch VPN, gdy urządzenie jest skonfigurowane jako Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) lub jako AAA virtual server. Nieprawidłowe zarządzanie granicami bufora pozwala na niezamierzony przepływ sterowania (unintended control flow), co może prowadzić zarówno do destabilizacji urządzenia, jak i potencjalnego wykonania nieautoryzowanego kodu. Atak jest możliwy zdalnie przez sieć bez konieczności uwierzytelnienia, choć wymaga spełnienia dodatkowych warunków technicznych (AC:H, AT:P).

Skutki

Atakujący może doprowadzić do odmowy usługi (DoS) urządzenia NetScaler, a niezamierzony przepływ sterowania stwarza ryzyko wykonania dowolnego kodu w kontekście procesu sieciowego. Skutki obejmują niedostępność usług VPN oraz potencjalne naruszenie poufności i integralności danych.

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi w artykule Citrix CTX694788 (https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788). Do czasu wdrożenia patcha należy rozważyć ograniczenie dostępu do interfejsów VPN i AAA wyłącznie do zaufanych sieci.

Kogo dotyczy

Citrix NetScaler ADC oraz Citrix NetScaler Gateway skonfigurowane jako Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) lub AAA virtual server. Szczegółowe wersje wskazane w referencjach producenta (CTX694788).

Uwagi

Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza aktywne wykorzystanie w środowiskach produkcyjnych. Organizacje korzystające z Citrix NetScaler w roli bramki VPN lub AAA powinny traktować wdrożenie patcha jako działanie priorytetowe.

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Citrix Netscaler Application Delivery Controller

    APP
    Citrix
    13.1 – 13.1-37.236 (bez)13.1 – 13.1-59.19 (bez)14.1 – 14.1-47.46 (bez)
  • Citrix Netscaler Gateway

    APP
    Citrix
    13.1 – 13.1-59.19 (bez)14.1 – 14.1-47.46 (bez)

CISA KEV — szczegółyi

Dostawcai
Citrix
Produkti
NetScaler ADC and Gateway
Data dodania do KEVi
30 czerwca 2025
Termin remediation (USA)i
21 lipca 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Citrix NetScaler ADC i Gateway zawierają lukę buffer overflow prowadzącą do niezamierzonego sterowania przepływem i Denial of Service. NetScaler musi być skonfigurowany jako Gateway (serwer wirtualny VPN, ICA Proxy, CVPN, RDP Proxy) LUB serwer wirtualny AAA.

tłumaczenie AI
Pokaż oryginał (EN)

Citrix NetScaler ADC and Gateway contain a buffer overflow vulnerability leading to unintended control flow and Denial of Service. NetScaler must be configured as Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) OR AAA virtual server.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 21 lipca 2025
Tagi
DoSVPN
CWE
Referencje

Powiązane podatności

CVE-2026-3055CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Citrix NetScaler ADC/Gateway — memory overread przez SAML IDP

CVE-2025-7775CRITICAL9.2⚠ KEVPL ✓ten sam produkt

Przepełnienie pamięci w Citrix NetScaler ADC i Gateway — RCE/DoS

CVE-2025-5777CRITICAL9.3⚠ KEVPL ✓ten sam produkt

CitrixBleed 2 — memory overread w Citrix NetScaler ADC i Gateway

CVE-2023-4966CRITICAL9.4⚠ KEVten sam produkt

Sensitive information disclosure in NetScaler ADC and NetScaler Gateway when configured as a Gateway (VPN virt...

CVE-2023-3519CRITICAL9.8⚠ KEVten sam produkt

Unauthenticated remote code execution

CVE-2025-6543 — Przepełnienie pamięci w Citrix NetScaler ADC i Gateway – RCE/DoS przez VPN — CRITICAL 9.2 | CVEbaza.pl