Citrix本周发布安全更新,修补NetScaler软体两项重大风险漏洞。
本次修补的漏洞影响二项产品,包括NetScaler ADC(Application Delivery Controller)及NetScaler Gateway。二个漏洞中,较严重的是CVE-2025-5777,为对外部输入HTTP呼叫的长度验证不足导致过度读取记忆体(memory overread),造成资料不当外泄。本漏洞属于越界读取(Out-of-bounds Read)漏洞,风险值为CVSS 4.0的9.3。
其次是CVE-2025-5349,为前述产品NetScaler管理介面的存取控制不当漏洞,小则让未授权用户存取系统设定、日志、窜改设定,大则可能导致远端程式码执行或控制作业系统。本漏洞风险值为CVSS 4.0的8.7。
受影响的产品版本为NetScaler ADC/Gateway 14.1(14.1-43.56以前)及13.1(13.1-58.32以前)、NetScaler ADC 13.1-FIPS与NDcPP(13.1-37.235以前)及NetScaler ADC 12.1-FIPS(12.1-55.328以前)。NetScaler ADC/Gateway 12.1和13.0都是已届EoL(End of Life)的产品。Citrix建议用户升级到支援版本。
此外,另二项产品Secure Private Access on-prem(本地部署)或Secure Private Access Hybrid(混合云)也受到影响。
本次安全公告适用于自行管理的NetScaler ADC/Gateway用户,Citrix管理的服务,则会由该公司软体部门解决问题。