Krytyczna podatność przepełnienia pamięci (memory overflow) w Citrix NetScaler ADC i NetScaler Gateway umożliwia zdalnemu atakującemu wykonanie dowolnego kodu (RCE) lub wywołanie odmowy usługi (DoS). Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i znajduje się na liście CISA KEV.
▸ Pokaż oryginał (EN)
Memory overflow vulnerability leading to Remote Code Execution and/or Denial of Service in NetScaler ADC and NetScaler Gateway when NetScaler is configured as Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) or AAA virtual server (OR) NetScaler ADC and NetScaler Gateway 13.1, 14.1, 13.1-FIPS and NDcPP: LB virtual servers of type (HTTP, SSL or HTTP_QUIC) bound with IPv6 services or servicegroups bound with IPv6 servers (OR) NetScaler ADC and NetScaler Gateway 13.1, 14.1, 13.1-FIPS and NDcPP: LB virtual servers of type (HTTP, SSL or HTTP_QUIC) bound with DBS IPv6 services or servicegroups bound with IPv6 DBS servers (OR) CR virtual server with type HDX
Podatność (CWE-119) polega na nieprawidłowej obsłudze granic buforów pamięci w kilku konfiguracjach urządzenia. Błąd występuje gdy NetScaler skonfigurowany jest jako Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) lub AAA virtual server, a także gdy load balancing virtual server typu HTTP, SSL lub HTTP_QUIC jest powiązany z usługami IPv6 lub grupami usług IPv6 (w tym DBS). Dodatkowy wektor ataku dotyczy CR virtual server z typem HDX. Przepełnienie bufora w tych ścieżkach przetwarzania ruchu sieciowego może prowadzić do zapisu danych poza przydzielonym obszarem pamięci, co atakujący może wykorzystać do przejęcia kontroli nad przepływem wykonania.
Atakujący zdalny, nieuwierzytelniony może uzyskać możliwość wykonania dowolnego kodu na podatnym urządzeniu (RCE) lub spowodować jego całkowite niedostępność poprzez crash procesu (DoS), co w przypadku urządzeń VPN/Gateway może skutkować przerwaniem dostępu zdalnego dla całej organizacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Citrix CTX694938 (https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938). Ze względu na aktywne wykorzystanie podatności w środowiskach produkcyjnych (CISA KEV) aktualizacja powinna być wdrożona natychmiastowo. Do czasu patchowania rozważyć ograniczenie dostępu do interfejsów zarządzania oraz monitorowanie anomalii w ruchu sieciowym na urządzeniach NetScaler.
Citrix NetScaler ADC i NetScaler Gateway w wersjach 13.1, 14.1, 13.1-FIPS oraz NDcPP, skonfigurowane jako: Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy), AAA virtual server, LB virtual server typu HTTP/SSL/HTTP_QUIC powiązany z usługami lub grupami usług IPv6 (w tym DBS IPv6), lub CR virtual server z typem HDX
Podatność figuruje na liście CISA Known Exploited Vulnerabilities (KEV), co potwierdza aktywne wykorzystanie w środowiskach produkcyjnych. Wektor CVSS 4.0 wskazuje na brak wymagania uwierzytelnienia (PR:N) i brak interakcji użytkownika (UI:N), jednak atak wymaga specyficznych warunków wstępnych (AC:H, AT:P) — tj. konkretnej konfiguracji urządzenia opisanej w podatności.
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XCitrix Netscaler Application Delivery Controller
APPCitrix12.1 – 12.1-55.330 (bez)13.1 – 13.1-37.241 (bez)13.1 – 13.1-59.22 (bez)14.1 – 14.1-47.48 (bez)Citrix Netscaler Gateway
APPCitrix13.1 – 13.1-59.22 (bez)14.1 – 14.1-47.48 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Citrix ↗
- Produkti
- NetScaler
- Data dodania do KEVi
- 26 sierpnia 2025
- Termin remediation (USA)i
- 28 sierpnia 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z odpowiednim wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Citrix NetScaler ADC i NetScaler Gateway zawierają lukę przepełnienia pamięci, która może umożliwić zdalne wykonanie kodu (RCE) i/lub odmowę usługi (DoS).
▸ Pokaż oryginał (EN)
Citrix NetScaler ADC and NetScaler Gateway contain a memory overflow vulnerability that could allow for remote code execution and/or denial of service.
Powiązane podatności
Citrix NetScaler ADC/Gateway — memory overread przez SAML IDP
Przepełnienie pamięci w Citrix NetScaler ADC i Gateway – RCE/DoS przez VPN
CitrixBleed 2 — memory overread w Citrix NetScaler ADC i Gateway
Sensitive information disclosure in NetScaler ADC and NetScaler Gateway when configured as a Gateway (VPN virt...
Unauthenticated remote code execution