Citrix - CVE-2023-4966

Atteinte à la confidentialité des données
Atteinte à l’intégrité des données

La vulnérabilité exploitée est du type
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Faible
•    Privilèges nécessaires pour réaliser l'attaque : Aucun
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Une preuve de concept est disponible en sources ouvertes.

Ces produits ne sont vulnérables que s’ils sont configurés comme passerelles (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou en serveur virtuel AAA.

Mettre à jour NetScaler ADC et NetScaler Gateway 14.1 vers la version 14.1-8.50.
Mettre à jour NetScaler ADC et NetScaler Gateway 13.1 vers la version 13.1-49.15.
Mettre à jour NetScaler ADC et NetScaler Gateway 13.0 vers la version 13.0-92.19.
Mettre à jour NetScaler ADC 13.1-FIPS vers la version 13.1-37.164.
Mettre à jour NetScaler ADC 12.1-FIPS vers la version 12.1-55.300.
Mettre à jour NetScaler ADC 12.1-NDcPP vers la version 12.1-55.300.

Note : NetScaler ADC et NetScaler Gateway version 12.1 arrivent en fin de vie et ne sont plus pris en charge.

Des informations complémentaires sont disponibles dans le bulletin de Citrix.