Citrix ha lanzado correcciones para abordar tres fallas de seguridad en Netscaler ADC y Netscaler Gateway, incluido uno que, según él, ha sido explotado activamente en la naturaleza.
Las vulnerabilidades en cuestión se enumeran a continuación –
- CVE-2025-7775 (Puntuación CVSS: 9.2)-Vulnerabilidad de desbordamiento de memoria que conduce a la ejecución del código remoto y/o la denegación de servicio de servicio
- CVE-2025-7776 (Puntuación CVSS: 8.8)-Vulnerabilidad de desbordamiento de memoria que conduce a un comportamiento impredecible o erróneo y a la denegación de servicio
- CVE-2025-8424 (Puntuación CVSS: 8.7) – Control de acceso inadecuado en la interfaz de administración de NetScaler
La compañía reconoció que «se han observado» exploits de CVE-2025-7775 en electrodomésticos no mitigados «, pero no han dejado de compartir detalles adicionales.
Sin embargo, para que los fallas sean explotados, hay una serie de requisitos previos –
- CVE-2025-7775 – NetScaler debe configurarse como puerta de enlace (VPN Virtual Server, ICA proxy, CVPN, RDP proxy) o AAA Virtual Server; NetScaler ADC y NetScaler Gateway 13.1, 14.1, 13.1-Fips y NDCPP: servidores virtuales LB de tipo (HTTP, SSL o HTTP_QUIC) vinculados con servicios IPv6 o grupos de servicio vinculados con servidores IPV6; NetScaler ADC y NetScaler Gateway 13.1, 14.1, 13.1-FIPS y NDCPP: servidores virtuales LB de tipo (HTTP, SSL o HTTP_QUIC) vinculados con servicios DBS IPv6 o grupos de servicio vinculados con servidores IPv6 DBS; o servidor virtual CR con tipo HDX
- CVE-2025-7776 – NetScaler debe configurarse como puerta de enlace (VPN Virtual Server, ICA Proxy, CVPN, RDP proxy) con perfil PCOIP limitado a él
- CVE-2025-8424 – Acceso a NSIP, IP de administración de clúster o IP del sitio GSLB local o Snip con acceso a la administración
Los problemas se han resuelto en las siguientes versiones, sin soluciones disponibles
- NetScaler ADC y Netscaler Gateway 14.1-47.48 y luego liberaciones
- NetScaler ADC y Netscaler Gateway 13.1-59.22 y luego lanzamientos de 13.1
- NetScaler ADC 13.1-FIPS y 13.1-NDCPP 13.1-37.241 y posteriores lanzamientos de 13.1-FIPS y 13.1-NDCPP
- NetScaler ADC 12.1-FIPS y 12.1-NDCPP 12.1-55.330 y lanzamientos posteriores de 12.1-FIPS y 12.1-NDCPP
Citrix acreditó a Jimi Sebree de Horizon3.ai, Jonathan Hetzer de Schramm & Partnerfor y François Hämmerli por descubrir e informar las vulnerabilidades.
CVE-2025-7775 es la última vulnerabilidad de Netscaler ADC y Gateway para ser armado en ataques del mundo real en un corto período de tiempo, después de CVE-2025-5777 (también conocido como Bleed Citrix 2) y CVE-2025-6543.
La divulgación también se produce un día después de que la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó dos defectos de seguridad que afectan la grabación de la sesión de la sesión de Citrix (CVE-2024-8068 y CVE-2024-8069) a su catálogo de vulnerabilidades explotadas (KEV) conocidas, basadas en la evidencia de la explotación activa.
