Redazione RHC : 28 agosto 2025 14:02
NetScaler ha alertado a los administradores sobre tres nuevas vulnerabilidades en NetScaler ADC y NetScaler Gateway, una de las cuales ya se está utilizando en ataques activos. Hay actualizaciones disponibles y el proveedor recomienda instalarlas de inmediato: se han descubierto exploits para CVE-2025-7775 en dispositivos sin protección.
Los errores incluyen un desbordamiento de memoria con potencial de ejecución de código y denegación de servicio, un segundo error similar que causa caídas del servicio y un comportamiento impredecible, y un problema de control de acceso en la interfaz de administración. Los errores afectan tanto a las versiones estándar como a las compilaciones compatibles con FIPS/NDcPP. Ya se han implementado actualizaciones para los servicios en la nube administrados por el proveedor, pero las instalaciones de cliente requieren actualizaciones manuales.
Las versiones afectadas son: NetScaler ADC y Gateway 14.1 (anterior a la versión 14.1-47.48), 13.1 (anterior a la versión 13.1-59.22), así como NetScaler ADC 13.1-FIPS/NDcPP (anterior a la versión 13.1-37.241) y 12.1-FIPS/NDcPP (anterior a la versión 12.1-55.330).
| CVE-ID | Descripción | Requisitos | CWE | CVSS v4.0 |
|---|---|---|---|---|
| CVE-2025-7775 | Desbordamiento de memoria que provoca ejecución remota de código o denegación de servicio | NetScaler configurado como puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o como servidor virtual AAA O NetScaler ADC y NetScaler Gateway 13.1, 14.1, 13.1-FIPS y NDcPP: Servidores virtuales HTTP, SSL o HTTP_QUIC LB asociados con servicios IPv6 o grupos de servicios que incluyen servidores IPv6 O NetScaler ADC y NetScaler Gateway 13.1, 14.1, 13.1 – FIPS y NDcPP – Servidores virtuales LB de tipo HTTP, SSL o HTTP_QUIC asociados con servicios DBS IPv6 o grupos que incluyen servidores DBS IPv6 O CR – tipo de servidor virtual HDX | CWE-119 – Límite incorrecto para operaciones dentro del búfer de memoria | Calificación base: 9.2 |
| CVE-2025-7776 | Desbordamiento de memoria que provoca un comportamiento impredecible o incorrecto y denegación de servicio | NetScaler está configurado como una puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) con un perfil PCoIP asociado | CWE-119 – Límite incorrecto para operaciones dentro de la memoria buffer | Calificación base: 8.8 |
| CVE-2025-8424 | Control de acceso no válido en la interfaz de administración de NetScaler | Acceso a NSIP, IP de administración del clúster, IP del sitio GSLB local o SNIP con acceso de administración habilitado | CWE-284 – Control de acceso incorrecto | Calificación base: 8.7 |
Además, tenga en cuenta que las versiones 12.1 y 13.0 ya no son compatibles y deben migrarse a las versiones actuales. Hay actualizaciones disponibles tanto para puertas de enlace estándar como para implementaciones locales e híbridas de Acceso Privado Seguro que utilizan instancias de NetScaler.
Citrix recomienda actualizar a las siguientes compilaciones:
No hay soluciones alternativas.
Ya se han implementado correcciones para las nubes administradas por Citrix y la autenticación adaptativa.
Para evaluar su instalación, los administradores pueden comprobar su configuración para detectar las cadenas de advertencia que aparecen en el boletín. Citrix ha notificado a sus clientes y socios a través del sitio de soporte de NetScaler. Los problemas también están confirmados en boletines del sector y bases de datos de vulnerabilidades.
RedazioneNetScaler ha alertado a los administradores sobre tres nuevas vulnerabilidades en NetScaler ADC y NetScaler Gateway, una de las cuales ya se está utilizando en ataques activos. Hay actualizacione...
Un Jueves Negro para millones de usuarios de Microsoft Teams en todo el mundo. Una función clave de la plataforma de colaboración, la apertura de documentos incrustados de Office, ha sido re...
Mientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
