Citrix ha emprendedor correcciones para acometer tres fallas de seguridad en Netscaler ADC y Netscaler Gateway, incluido uno que, según él, ha sido explotado activamente en la naturaleza.
Las vulnerabilidades en cuestión se enumeran a continuación –
- CVE-2025-7775 (Puntuación CVSS: 9.2)-Vulnerabilidad de desbordamiento de memoria que conduce a la ejecución del código remoto y/o la denegación de servicio de servicio
- CVE-2025-7776 (Puntuación CVSS: 8.8)-Vulnerabilidad de desbordamiento de memoria que conduce a un comportamiento impredecible o falso y a la denegación de servicio
- CVE-2025-8424 (Puntuación CVSS: 8.7) – Control de camino inadecuado en la interfaz de dependencia de NetScaler
La compañía reconoció que “se han observado” exploits de CVE-2025-7775 en electrodomésticos no mitigados “, pero no han dejado de compartir detalles adicionales.
Sin secuestro, para que los fallas sean explotados, hay una serie de requisitos previos –
- CVE-2025-7775 – NetScaler debe configurarse como puerta de enlace (VPN Potencial Server, ICA proxy, CVPN, RDP proxy) o AAA Potencial Server; NetScaler ADC y NetScaler Gateway 13.1, 14.1, 13.1-Fips y NDCPP: servidores virtuales LB de tipo (HTTP, SSL o HTTP_QUIC) vinculados con servicios IPv6 o grupos de servicio vinculados con servidores IPV6; NetScaler ADC y NetScaler Gateway 13.1, 14.1, 13.1-FIPS y NDCPP: servidores virtuales LB de tipo (HTTP, SSL o HTTP_QUIC) vinculados con servicios DBS IPv6 o grupos de servicio vinculados con servidores IPv6 DBS; o servidor potencial CR con tipo HDX
- CVE-2025-7776 – NetScaler debe configurarse como puerta de enlace (VPN Potencial Server, ICA Proxy, CVPN, RDP proxy) con perfil PCOIP prohibido a él
- CVE-2025-8424 – Ataque a NSIP, IP de dependencia de clúster o IP del sitio GSLB tópico o Snip con camino a la dependencia
Los problemas se han resuelto en las siguientes versiones, sin soluciones disponibles
- NetScaler ADC y Netscaler Gateway 14.1-47.48 y luego liberaciones
- NetScaler ADC y Netscaler Gateway 13.1-59.22 y luego lanzamientos de 13.1
- NetScaler ADC 13.1-FIPS y 13.1-NDCPP 13.1-37.241 y posteriores lanzamientos de 13.1-FIPS y 13.1-NDCPP
- NetScaler ADC 12.1-FIPS y 12.1-NDCPP 12.1-55.330 y lanzamientos posteriores de 12.1-FIPS y 12.1-NDCPP
Citrix acreditó a Jimi Sebree de Horizon3.ai, Jonathan Hetzer de Schramm & Partnerfor y François Hämmerli por descubrir e informar las vulnerabilidades.
CVE-2025-7775 es la última vulnerabilidad de Netscaler ADC y Gateway para ser armado en ataques del mundo efectivo en un corto período de tiempo, luego de CVE-2025-5777 (además conocido como Bleed Citrix 2) y CVE-2025-6543.
La divulgación además se produce un día luego de que la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó dos defectos de seguridad que afectan la vídeo de la sesión de la sesión de Citrix (CVE-2024-8068 y CVE-2024-8069) a su catálogo de vulnerabilidades explotadas (KEV) conocidas, basadas en la evidencia de la explotación activa.