Vulnerabilidades críticas en Citrix 2025
Vulnerabilidades críticas en productos de Citrix - 26 de junio
Introducción
Las vulnerabilidades CVE‑2025‑6543 y CVE‑2025‑5777 afectan a los dispositivos Citrix NetScaler ADC y NetScaler Gateway. La primera ya está siendo explotada activamente, mientras que la segunda se ha comparado con “CitrixBleed” debido a su capacidad para filtrar tokens de sesión y credenciales sensibles.
Análisis
CVE-2025-6543 - CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L - 9.2
Esta vulnerabilidad de desbordamiento de memoria (memory overflow) puede permitir a un atacante causar control de flujo inesperado o denegación de servicio (DoS) en NetScaler ADC/Gateway configurados como Gateway (VPN, ICA Proxy, CVPN, RDP Proxy) o como servidor AAA. Ya se ha observado su explotación en entornos reales
CVE-2025-5777 - CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L - 9.3
Esta vulnerabilidad de lectura fuera de límites (memory overread) por falta de validación de entrada en NetScaler ADC/Gateway también configurados como Gateway o AAA. Comparada con “CitrixBleed” (CVE‑2023‑4966), permite extraer tokens de sesión y datos confidenciales de la memoria, lo que puede facilitar el secuestro de sesiones y saltar autenticaciones multifactor.
Versiones afectadas
NetScaler ADC y Gateway 14.1: versiones anteriores a 14.1‑47.46
NetScaler ADC y Gateway 13.1: anteriores a 13.1‑59.19
NetScaler ADC 13.1‑FIPS y NDcPP: anteriores a 13.1‑37.236‑FIPS/NDcPP
Recomendaciones
Actualizar inmediatamente a las versiones que corrigen ambas vulnerabilidades:
- 14.1‑47.46 o superior
- 13.1‑59.19 o superior
- 13.1‑FIPS/NDcPP 13.1‑37.236 o superior
Reiniciar sesiones activas tras la actualización, especialmente ICA/PCoIP, para invalidar sesiones potencialmente comprometidas. Ejecutar:
kill icaconnection -all
kill pcoipConnection -all
Workarounds
No hay workarounds disponibles para esta vulnerabilidad.