[TLP:CLEAR] Citrix opravuje 3 zraniteľnosti v rôznych produktoch
Citrix opravuje 3 zraniteľnosti v rôznych produktoch [1][2]. Jednotlivé produkty a ich opravené verzie: Citrix NetScaler Console - 14.1-38.53, 13.1-56.18 [1] Citrix NetScaler Agent - 14.1-38.53, 13.1-56.18 [1] Citrix Secure Access Client for Mac - 25.01.2 [2]
Susednému autentizovanému útočníkovi je umožnené vykonať eskaláciu privilégií [1].
Zraniteľnosť sa nachádza v produktoch:
- NetScaler Console vo verziách (>=14.1 AND <14.1-38.53) OR (>=13.1 AND <13.1-56.18)
- NetScaler Agent vo verziách (>=14.1 AND <14.1-38.53) OR (>=13.1 AND <13.1-56.18)
CVSS: CVSS:3.1/AV:A/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-12284 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-269: Improper Privilege Management at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 18. 2. 2025.
Lokálnemu autentizovanému útočníkovi je umožnené zvýšiť svoje oprávnenia na oprávnenia, s ktorými beží zraniteľná aplikácia [2].
Zraniteľnosť sa nachádza v produkte Citrix Secure Access Client for Mac vo verziách <25.01.2.
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:H
Viac informácií:
- CVE-2025-1222 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2025-1223 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-427: Uncontrolled Search Path Element at cwe.mitre.org
- CWE-693: Protection Mechanism Failure at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 18. 2. 2025.
Odkazy
Za CESNET-CERTS Martin Krajči dňa 3. 3. 2025.
