Citrix je u utorak najavio zakrpe za četiri ranjivosti u tri različita proizvoda, uključujući i kritičnu ranjivost u NetScaler ADC i NetScaler Gateway.
Kritična ranjivost, koja se vodi pod oznakom CVE-2025-5777 (CVSS ocjena 9.3), opisana je kao čitanje memorije izvan dozvoljenog opsega, izazvano nedovoljnom validacijom ulaza.
Citrix pojašnjava u svom savjetovanju da su pogođene isključivo NetScaler implementacije koje su konfigurisane kao Gateway (VPN virtuelni server, ICA Proxy, CVPN, RDP Proxy) ili kao virtuelni server za autentifikaciju, autorizaciju i obračun (AAA).
Ranjivost je otklonjena u verzijama NetScaler ADC 14.1-43.56, 13.1-58.32, 13.1-FIPS, 13.1-NDcPP 13.1-37.235, i 12.1-FIPS 12.1-55.328, kao i u NetScaler Gateway verzijama 14.1-43.56 i 13.1-58.32.
Ažuriranja takođe rješavaju CVE-2025-5349, visoko-rizičan problem nepravilne kontrole pristupa u NetScaler Management Interface-u.
Citrix upozorava da su verzije NetScaler ADC i Gateway 12.1 i 13.0, koje su povučene iz podrške, takođe pogođene ovim ranjivostima, te poziva korisnike da što prije pređu na podržane verzije.
U utorak je kompanija objavila i zakrpe za visoko-rizičnu ranjivost nepravilnog upravljanja privilegijama u Secure Access Client-u za Windows, koju bi napadač mogao iskoristiti za dobijanje System privilegija. Ova bezbjednosna greška, zabilježena kao CVE-2025-0320, ispravljena je u verziji Secure Access Client-a za Windows 25.5.1.15.
Još jedna visoko-rizična ranjivost nepravilnog upravljanja privilegijama, evidentirana kao CVE-2025-4879, ispravljena je izdavanjem Citrix Workspace aplikacije za Windows verzije 2409, kao i u Workspace aplikacijama za Windows 2402 LTSR CU2 Hotfix 1 i 2402 LTSR CU3 Hotfix 1.
Citrix nije naveo da je bilo koja od ovih ranjivosti trenutno aktivno iskorišćena, ali korisnicima se preporučuje da ažuriraju svoje instalacije što je prije moguće. Dodatne informacije dostupne su na stranici sa bezbjednosnim biltenima kompanije.
Izvor: SecurityWeek