Citrixは、NetScaler ADCに影響を与える重大な欠陥に対処するためのセキュリティアップデートをリリースしました。この欠陥は野外で悪用されているとされています。
この脆弱性はCVE-2025-6543として追跡されており、最大10.0のうち9.2のCVSSスコアを持っています。
これは、意図しない制御フローやサービス拒否を引き起こす可能性のあるメモリオーバーフローのケースとして説明されています。しかし、成功する悪用には、アプライアンスがゲートウェイ(VPN仮想サーバー、ICAプロキシ、CVPN、RDPプロキシ)またはAAA仮想サーバーとして構成されている必要があります。
この欠陥は以下のバージョンに影響を与えます –
- NetScaler ADCおよびNetScaler Gateway 14.1(14.1-47.46より前)
- NetScaler ADCおよびNetScaler Gateway 13.1(13.1-59.19より前)
- NetScaler ADCおよびNetScaler Gateway 12.1および13.0(脆弱でサポート終了)
- NetScaler ADC 13.1-FIPSおよびNDcPP(13.1-37.236-FIPSおよびNDcPPより前)
“NetScalerインスタンスを使用したオンプレミスまたはハイブリッドのSecure Private Access展開も脆弱性の影響を受けます”とCitrixは述べています。
“顧客は、これらのNetScalerインスタンスを推奨されるNetScalerビルドにアップグレードして脆弱性に対処する必要があります。”と述べています。
同社は、現実世界の攻撃でどのように欠陥が悪用されているかを明らかにしませんでしたが、「未対策のアプライアンスでCVE-2025-6543の悪用が観察されている」と述べています。
この発表は、CitrixがNetScaler ADCの別の重大なセキュリティ欠陥(CVE-2025-5777、CVSSスコア: 9.3)を修正した直後に行われました。この欠陥は、脅威アクターが脆弱なアプライアンスにアクセスするために悪用される可能性があります。
翻訳元: https://thehackernews.com/2025/06/citrix-releases-emergency-patches-for.html