Citrix’in Çeşitli Ürünlerinde Güvenlik Açığı Tespit Edildi

Mehmet Sait YILMAZ

Citrix “Citrix ADC (eski adıyla NetScaler ADC), Citrix Gateway (eski adıyla NetScaler Gateway) ve Citrix SD-WAN WANOP cihazı modelleri 4000-WO, 4100-WO, 5000-WO ve 5100-WO’da birden fazla güvenlik açığı tespit edilmiştir” şeklinde açıklamalarda bulundu.

Güvenlik açıkları şu şekilde:

CVE IDDescriptionVulnerability TypeAffected ProductsPre-conditions
CVE-2020-8245An HTML Injection attack against the SSL VPN web portal CWE-79: Improper Neutralization of Input During Web Page GenerationCitrix ADC, Citrix GatewayRequires an authenticated victim on the SSL VPN web portal who must open an attacker-controlled link in the browser
CVE-2020-8246A denial of service attack originating from the management network CWE-400: Uncontrolled Resource Consumption Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OPUnauthenticated attacker with access to the management network
CVE-2020-8247Escalation of privileges on the management interfaceCWE-269: Improper Privilege ManagementCitrix ADC, Citrix Gateway, Citrix SDWAN WAN-OPAn attacker must possess privilege to execute arbitrary commands on the management interface

Zafiyetllerden etkilenen yazılım sürümleri ise şöyle:

Ayrıca Citrix ADC, Citrix Gateway ve Citrix SD-WAN WANOP ürünlerinin üzerinde yukarıdaki yazılımların bir sürümü varsa “HTTP Request Smuggling” saldırısından etkilenmemeleri için bir klavuz yayınlandı.

Diğer bir zafiyet, Citrix ADC, Citrix Gateway ve Citrix SD-WAN WANOP ürünlerinin yönetim arayüzünde bulunmakta. Bu zafiyetlerin etkisini azaltmak için alınabilecek önlemlere buradan erişebilirsiniz.

Citrix ayrıca güvenlik açığı bulanan ürünler için zaman kaybetmeden son güncellemelerin yapılması konusunda uyarılarda bulundu.

Güncellemeler 1

Güncellemeler 2

Güncellemeler 3

Kaynak

Exit mobile version