Sintesi
Aggiornamenti Citrix risolvono 2 vulnerabilità di tipo 0-day, di cui una con gravità “alta”, relative ai prodotti NetScaler ADC e NetScaler Gateway.
Note: il vendor afferma che le vulnerabilità risultano essere sfruttate attivamente in rete.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (77,17/100)1.
Tipologia
- Arbitrary Code Execution
- Denial of Service
Prodotti e versioni affette
Citrix
- NetScaler ADC and NetScaler Gateway 14.1, versioni precedenti alla 14.1-12.35
- NetScaler ADC and NetScaler Gateway 13.1, versioni precedenti alla 13.1-51.15
- NetScaler ADC and NetScaler Gateway 13.0, versioni precedenti alla 13.0-92.21
- NetScaler ADC 13.1-FIPS, versioni precedenti alla 13.1-37.176
- NetScaler ADC 12.1-FIPS, versioni precedenti alla 12.1-55.302
- NetScaler ADC 12.1-NDcPP, versioni precedenti alla 12.1-55.302
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti vulnerabili seguendo le indicazioni riportate nei bollettini di sicurezza, disponibili ai link presenti nella sezione Riferimenti.
Si evidenzia che per tutte le versioni di NetScaler ADC and NetScaler Gateway precedenti alla 12.1 il vendor non rilascerà alcun workaround e/o patch considerata la data di fine supporto (EOL).
Identificatori univoci vulnerabilità
Riferimenti
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
