Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00404

Опубликовано: 16 янв. 2024
Источник: fstec
CVSS3: 5.5
CVSS2: 6.5
EPSS Низкий

Описание

Уязвимость контроллера доставки приложений Citrix ADC (ранее Citrix NetScaler Application Delivery Controller), системы контроля доступа к виртуальной среде Citrix Gateway (ранее Citrix NetScaler Gateway) связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Citrix Systems Inc.

Наименование ПО

NetScaler Application Delivery Controller
NetScaler Gateway

Версия ПО

от 13.1 до 13.1-51.15 (NetScaler Application Delivery Controller)
от 14.1 до 14.1-12.35 (NetScaler Application Delivery Controller)
от 13.0 до 13.0-92.21 (NetScaler Application Delivery Controller)
от 13.0 до 13.0-92.21 (NetScaler Gateway)
от 13.1 до 13.1-51.15 (NetScaler Gateway)
от 14.1 до 14.1-12.35 (NetScaler Gateway)

Тип ПО

ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- ограничение доступа к программному средству из общедоступных сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 91%
0.06933
Низкий

5.5 Medium

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-6548

CVSS3: 5.5
nvd
около 2 лет назад

Improper Control of Generation of Code ('Code Injection') in NetScaler ADC and NetScaler Gateway allows an attacker with access to NSIP, CLIP or SNIP with management interface to perform Authenticated (low privileged) remote code execution on Management Interface.

github логотип

GHSA-w4rw-v3mm-hj8h

CVSS3: 5.5
github
около 2 лет назад

[PROBLEMTYPE] in [COMPONENT] in [VENDOR] [PRODUCT] [VERSION] on [PLATFORMS] allows [ATTACKER] to [IMPACT] via [VECTOR]

EPSS

Процентиль: 91%
0.06933
Низкий

5.5 Medium

CVSS3

6.5 Medium

CVSS2