Injecció indirecta de scripts de Citrix NetScaler ADC i NetScaler Gateway
19/11/2025
CVE-2025-12101
ALT (7,6)
CVSS3: 6,6
Citrix NetScaler ADC i NetScaler Gateway són vulnerables a injeccions indirectes de scripts, causades per una validació incorrecta de l’entrada proporcionada per l’usuari quan l’aplicació està configurada com a Gateway (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o servidor virtual AAA. Un atacant remot podria explotar aquesta vulnerabilitat per executar un script al navegador web d’una víctima dins del context de seguretat del lloc web d’allotjament. Un atacant podria utilitzar aquesta vulnerabilitat per robar les credencials d’autenticació basades en galetes de la víctima.
post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}
Sistemes Afectats
- Citrix NetScaler ADC 14.1
- Citrix NetScaler Gateway 14.1
- Citrix NetScaler ADC 13.1
- Citrix NetScaler Gateway 13.1
- Citrix NetScaler ADC 13.1 FIPS and NDcPP
- Citrix NetScaler ADC 12.1 FIPS and NDcPP
Remediació
Consulteu l’avís de seguretat de Citrix CTX69548 per obtenir informació sobre pedaços, actualitzacions o solucions alternatives suggerides. Vegeu-ne les Referències.
