Citrix ha publicado actualizaciones de seguridad para abordar tres vulnerabilidades críticas en NetScaler ADC y NetScaler Gateway, incluyendo una que ha sido explotada activamente en entornos reales. Las vulnerabilidades son:
- CVE-2025-7775 Puntaje base CVSS: 9.2 (crítica): Vulnerabilidad de desbordamiento de memoria que permite ejecución remota de código y/o denegación de servicio.
- CVE-2025-7776 Puntaje base CVSS: 8.8 (alta): Vulnerabilidad de desbordamiento de memoria que provoca comportamiento errático e impredecible y denegación de servicio.
- CVE-2025-8424 Puntaje base CVSS: 8.7 (alta): Control de acceso inapropiado en la interfaz de gestión de NetScaler.
Productos y versiones afectadas
- NetScaler ADC y NetScaler Gateway versiones anteriores a 14.1-47.48, 13.1-59.22, 13.1-FIPS/NDcPP 13.1-37.241, 12.1-FIPS/NDcPP 12.1-55.330
Solución:
Se recomienda actualizar inmediatamente a las siguientes versiones para mitigar las vulnerabilidades:
- NetScaler ADC y NetScaler Gateway: 14.1-47.48 o versiones posteriores.
- NetScaler ADC y NetScaler Gateway (13.1): 13.1-59.22 o versiones posteriores.
- NetScaler ADC 13.1-FIPS y 13.1-NDcPP: 13.1-37.241 o versiones posteriores.
- NetScaler ADC 12.1-FIPS y 12.1-NDcPP: 12.1-55.330 o versiones posteriores.
Recomendaciones:
- Actualizar los productos afectados a las versiones más recientes de inmediato.
Referencias:
https://thehackernews.com/2025/08/citrix-patches-three-netscaler-flaws.html
https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-7776
https://www.securityweek.com/citrix-patches-exploited-netscaler-zero-day/