Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Citrix

Fecha de publicación 11/10/2023
Identificador
INCIBE-2023-0435
Importancia
5 - Crítica
Recursos Afectados
  • NetScaler ADC y NetScaler Gateway, versiones:
    • 14.1 anteriores a 14.1-8.50;
    • 13.1 anteriores a 13.1-49.15;
    • 13.0 anteriores a 13.0-92.19;
    • 12.1 (EoL).
  • NetScaler ADC, versiones:
    • 13.1-FIPS anteriores a 13.1-37.164;
    • 12.1-FIPS anteriores a 12.1-55.300;
    • 12.1-NDcPP anteriores a 12.1-55.300.
Descripción

Citrix ha reportado dos vulnerabilidades, una de severidad crítica (Citrix Bleed) y una de severidad alta, cuya explotación podría permitir a un atacante obtener información sensible o llevar a cabo una denegación de servicio (DoS).

Solución

Actualizar los productos afectados a las siguientes versiones:

  • NetScaler ADC y NetScaler Gateway, versiones:
    • 14.1-8.50 y posteriores;
    • 13.1-49.15 y posteriores de la rama 13.1;
    • 13.0-92.19 y posteriores de la rama 13.0;
  • NetScaler ADC, versiones:
    • 13.1-37.164 y posteriores de la rama 13.1-FIPS;
    • 12.1-55.300 y posteriores de la rama 12.1-FIPS;
    • 12.1-55.300 y posteriores de la rama 12.1-NDcPP.
Detalle

Las vulnerabilidades de severidad crítica y alta reportadas podrían permitir a un atacante remoto divulgar información sensible o provocar una condición de denegación de servicio, siempre y cuando los dispositivos afectados estén configurados como Gateway o servidor de autenticación virtual.

Se han asignado los códigos CVE-2023-4966 y CVE-2023-4967 para las vulnerabilidades reportadas.