Impatto Sistemico

Critico (75.89)

Sintesi

Rilevata una nuova vulnerabilità di sicurezza, con gravità “critica”, nei prodotti “NetScaler ADC” e “NetScaler Gateway” . Tale vulnerabilità potrebbe consentire a un utente malintenzionato di causare l’indisponibilità del servizio sui sistemi interessati.

Note : il vendor afferma che la vulnerabilità risulta essere sfruttata attivamente in rete.

Tipologia

• Denial of Service

Descrizione e potenziali impatti

Nel dettaglio, la CVE-2025-6543 – di tipo “Improper Restriction of Operations within the Bounds of a Memory Buffer” e con score CVSS v4.0 pari a 9.2 – riguarda dispositivi Citrix NetScaler configurati come Gateway (ad esempio VPN virtual server, ICA Proxy, CVPN, RDP Proxy) oppure come AAA virtual server.

Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato di causare l’indisponibilità del servizio sui sistemi interessati.

Prodotti e versioni affette

Citrix

• NetScaler ADC e NetScaler Gateway 14.1, versioni precedenti alla 14.1-47.46
• NetScaler ADC e NetScaler Gateway 13.1, versioni precedenti alla 13.1-59.19
• NetScaler ADC 13.1-FIPS, versioni precedenti alla 13.1-37.236-FIPS
• NetScaler ADC 13.1-NDcPP, versioni precedenti alla 13.1-37.236-NDcPP

N.B. Il vendor afferma che il prodotto NetScaler ADC 12.1-FIPS non è affetto dalla vulnerabilità.

Azioni di mitigazione

In conformità con le indicazioni del vendor, si raccomanda di aggiornare i prodotti seguendo le indicazioni disponibili al link riportato nella sezione Riferimenti.

N.B. Si evidenzia che per i prodotti 12.1 e 13.0 di NetScaler ADC e di NetScaler Gateway il vendor non rilascerà alcuna patch considerata la relativa data di fine supporto (EOL).