24 Juli 2023
Vorige week bevestigde Citrix drie nieuwe vulnerabilities in zijn NetScaler ADC en NetScaler Gateway appliances. Citrix heeft security updates uitgebracht voor de getroffen producten en heeft al patches voor door Citrix beheerde producten uitgebracht.
CVE-2023-3519 (CVSS 3.1: 9.8) is een unauthenticated remote code execution vulnerability, met als eerste vereiste dat het apparaat is geconfigureerd als een Gateway of AAA virtual server.
CVE-2023-3466 (CVSS 3.1: 8.3) is een reflected cross-site scripting (XSS) vulnerability met als eerste vereiste dat het slachtoffer zich op een netwerk moet bevinden met connectiviteit met de NSIP.
CVE-2023-3467 (CVSS 3.1: 8) is een privilege escalation vulnerability met de eerste vereiste voor “Geauthenticeerde toegang tot NSIP of SNIP met beheerinterfacetoegang”.
Betrokken Producten
- NetScaler ADC en NetScaler Gateway 13.1 before 13.1-49.13
- NetScaler ADC en NetScaler Gateway 13.0 vóór 13.0-91.13
- NetScaler ADC 13.1-FIPS vóór 13.1-37.159
- NetScaler ADC 12.1-FIPS vóór 12.1-55.297
- NetScaler ADC 12.1-NDcPP vóór 12.1-55.297
Security Updates
Citrix bevestigt dat exploits van CVE-2023-3519 zijn waargenomen en dat alle apparaten zo snel mogelijk moeten worden bijgewerkt.
- NetScaler ADC en NetScaler Gateway 13.1-49.13 en latere releases
- NetScaler ADC en NetScaler Gateway 13.0-91.13 en latere releases van 13.0
- NetScaler ADC 13.1-FIPS 13.1-37.159 en latere versies van 13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-55.297 en latere releases van 12.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-55.297 en latere versies van 12.1-NDcPP
Let op: NetScaler ADC en NetScaler Gateway versie 12.1 is nu End Of Life (EOL). Klanten wordt aangeraden hun apparaten te upgraden naar een van de ondersteunde versies die de vulnerabilities verhelpen.