漏洞相关信息

漏洞描述

Citrix Systems Citrix Gateway（Citrix Systems NetScaler Gateway）和Citrix ADC都是美国思杰系统（Citrix Systems）公司的产品。Citrix Gateway是一套安全的远程接入解决方案。该产品可为管理员提供应用级和数据级管控功能，以实现用户从任何地点远程访问应用和数据。Citrix ADC是一个最全面的应用程序交付和负载平衡解决方案。用于实现应用程序安全性、整体可见性和可用性。

Citrix ADC 和 Citrix Gateway存在代码注入漏洞，该漏洞源于存在远程代码执行漏洞（CVE-2023-3519）；

Citrix ADC 和 Citrix Gateway存在安全漏洞，该漏洞源于存在反射型跨站脚本（XSS）漏洞，（CVE-2023-3466）；

Citrix ADC 和 Citrix Gateway存在安全漏洞，该漏洞源于允许攻击者将权限提升至根管理员（nsroot）（CVE-2023-3467）

影响范围：

NetScaler ADC 、NetScaler Gateway 13.1 < 13.1-49.13

NetScaler ADC 、NetScaler Gateway 13.0 < 13.0-91.13

NetScaler ADC 13.1-FIPS < 13.1-37.159

NetScaler ADC 12.1-FIPS < 12.1-55.297

NetScaler ADC 12.1-NDcPP < 12.1-55.297

1）排查方法

1. 登录到 NetScaler ADC 、NetScaler Gateway 管理界面。使用管理员凭据登录到 NetScaler ADC 、NetScaler Gateway 的管理控制台。

2. 在管理界面的左侧导航栏中，找到 "System"（系统）选项，并将鼠标悬停在其上方。

3. 在弹出的下拉菜单中，选择 "System Information"（系统信息）。

4. 在 "System Information" 页面中，您可以找到有关已安装 NetScaler ADC 、NetScaler Gateway 的详细版本信息。通常，您可以在页面的顶部或左侧找到产品名称和版本号。

2）修复方案

5. 目前官方已发布漏洞修复版本，其中NetScaler ADC 和 NetScaler Gateway 12.1 版本现已终止生命周期 (EOL)，强烈建议客户将受影响的NetScaler ADC和NetScaler Gateway设备升级到可解决漏洞的受支持版本之一：

NetScaler ADC、NetScaler Gateway >= 13.1-49.13

NetScaler ADC、NetScaler Gateway 13.0 >= 13.0-91.13

NetScaler ADC 13.1-FIPS >= 13.1-37.159

NetScaler ADC 12.1-FIPS >= 12.1-55.297

NetScaler ADC 12.1-NDcPP >= 12.1-55.297

漏洞解决方案

防火墙、IPS、LB不涉及