Citrix wypuszcza łatki na eskalację uprawnień w Citrix NetScaler Console

Wiadomość skierowana do administratorów rozwiązań z rodziny NetScaler. Citrix właśnie opublikował advisory dotyczące poważnej podatności dotykających dwóch produktów – NetScaler Console (wersje 13.1 przed 13.1-38.53) oraz NetScaler Agent (wersje 13.1 przed 13.1-56.18). W skrócie; NetScaler Console to webowa konsola służąca do zarządzania produktami NetScaler, a NetScaler Agent to komponent, który działa na urządzeniach końcowych i umożliwia m.in. monitorowanie ruchu. 

Wysoka wycena CVSS na poziomie 8.8 punktów może trochę rozmyć obraz podatności, ponieważ tak naprawdę chodzi o uwierzytelnionego atakującego, który wykorzystując błędy w funkcjonalności zarządzania uprawnieniami mógł wykonywać komendy systemowe bez dodatkowej autoryzacji. 

Producent nie opublikował żadnych mitygacji, dlatego dla podatnych wersji zalecana jest natychmiastowa aktualizacja. Jeśli jesteś użytkownikiem chmurowej wersji zarządzanej przez Citrixa – żadna akcja nie jest wymagana.

~fc