欢迎来到公海710 两个新的 Citrix 漏洞需要紧急审查和响应

Citrix 披露了两个影响 NetScaler 应用交付控制器 (ADC) 和网关设备的严重漏洞。这些问题发布在 Citrix 文章 CTX693420 下，给尚未修补或正确分段的环境带来了真正的风险。 CVE-2025-5349 和 CVE-2025-5777 漏洞可能允许未经授权访问管理界面并暴露内存中的敏感信息。

作为我们持续的 Citrix 专业知识和客户支持的一部分，Alchemy 团队审查了这些漏洞及其在实践中的含义。

漏洞

CVE 2025 5349

未经身份验证的用户可以通过 NSIP、集群 IP 或 GSLB 站点 IP 访问 NetScaler 管理界面。如果暴露，这将打开一条进入控制平面的直接路径。

CVE 2025 5777

当设备配置为网关或 AAA 虚拟服务器时，攻击者可以利用输入验证缺陷，从而允许内存被覆盖。这可能会暴露内存中的敏感信息。

两个 CVE 的 CVSS 分数都很高至临界值。即使尚未发生经证实的主动利用，它们也需要快速关注。

炼金术推荐什么

1。确认您当前的 NetScaler 版本

如果您在执行以下操作之前运行构建，您的系统将面临风险：

以下受支持的 NetScaler ADC 和 NetScaler Gateway 版本受到这些漏洞的影响：

• NetScaler ADC 和 NetScaler Gateway 14.1 14.1-43.56 之前
• NetScaler ADC 和 NetScaler Gateway 13.1 13.1-58.32 之前
• NetScaler ADC 13.1-FIPS 和 NDcPP 13.1-37.235-FIPS 和 NDcPP 之前
• NetScaler ADC 12.1-FIPS 优于 12.1-55.328-FIPS

注意：NetScaler ADC 和 NetScaler Gateway 版本 12.1 和 13.0 现已停产 (EOL) 并且容易受到攻击。建议客户将其设备升级到可解决漏洞的受支持版本之一。

附加说明：这些漏洞还会影响使用 NetScaler 实例的本地 Secure Private Access 或 Secure Private Access 混合部署。为了解决这些漏洞，客户必须将这些 NetScaler 实例升级到推荐的 NetScaler 版本。

此公告仅适用于客户管理的 NetScaler ADC 和 NetScaler Gateway。 Cloud Software Group 使用必要的软件更新来升级 Citrix 管理的云服务和自适应身份验证。

2。立即升级到安全版本

升级后，Citrix 建议使用 [bash] 终止所有活动的 ICA 和 PCoIP 会话：

• 杀死 icaconnection -all
• 杀死 pcoipConnection -all

3。锁定对管理界面的访问

管理 IP（NSIP、集群 IP、GSLB 站点 IP）不应暴露给不受信任的网络。使用网络分段和 ACL 来限制访问。

4。不要拖延迁移计划

如果您仍在运行 EOL 版本，则不能选择推迟迁移计划。现在是开始支持的升级路径的时候了。这些较旧的设备和配置不受保护。您等待的时间越长，您的系统就越容易受到攻击。

我们所看到的

在 Alchemy，我们帮助多家企业客户评估风险并执行升级计划。旧版本通常仍在生产中，尤其是在具有较旧网关或 VPN 配置的环境中。

我们的 Citrix 工程师可以：

• 查看您当前的版本和架构
• 指导修补和回滚计划
• 帮助您迁移出不受支持的平台
• 实施额外的安全控制以减少暴露

需要帮助评估您的风险或安排升级吗？

如果您不确定您的 NetScaler 配置是否安全或是否符合当前最佳实践，现在是时候找出答案了。 Alchemy 的 NetScaler 运行状况检查不仅仅是修补，我们还评估系统强化、配置漂移和网关暴露情况，为您提供精确、优先的操作步骤。无论您需要快速修复还是完整的升级计划，我们的团队都随时准备为您提供帮助。

安排您的 NetScaler 运行状况检查