【漏洞通告】Citrix ADC及Citrix Gateway 远程代码执行漏洞

0x01 漏洞信息

漏洞名称：Citrix ADC及Citrix Gateway远程代码执行漏洞

漏洞编号：CVE-2023-3519

漏洞等级：高

披漏时间：2023年07月19日

0x02 漏洞描述

该漏洞是由于Citrix ADC 及 Citrix Gateway 中存在远程代码执行，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行远程代码执行攻击，最终获取服务器最高权限。

0x03 漏洞状态

脆弱组件覆盖面	利用门槛	POC工具	EXP工具
广	低	未公开	未公开

0x04 影响版本

NetScaler ADC 、NetScaler Gateway 13.1 < 13.1-49.13，NetScaler ADC 、NetScaler Gateway 13.0 < 13.0-91.13， NetScaler ADC 13.1-FIPS < 13.1-37.159， NetScaler ADC 12.1-FIPS < 12.1-55.297， NetScaler ADC 12.1-NDcPP < 12.1-55.297

0x05 漏洞排查

用户尽快排查所有Citrix ADC及Citrix Gateway版本是否在NetScaler ADC 、NetScaler Gateway 13.1 < 13.1-49.13，NetScaler ADC 、NetScaler Gateway 13.0 < 13.0-91.13， NetScaler ADC 13.1-FIPS < 13.1-37.159， NetScaler ADC 12.1-FIPS < 12.1-55.297， NetScaler ADC 12.1-NDcPP < 12.1-55.297之间。若存在应用使用，极大可能会受到影响。

0x06 漏洞加固

官方已发布漏洞修复版本，强烈建议受影响的NetScaler ADC和NetScaler Gateway客户尽快安装相关更新版本。NetScaler ADC 、NetScaler Gateway13.1 >= 13.1-49.13 NetScaler ADC 、NetScaler Gateway13.0 >= 13.0-91.13 NetScaler ADC13.1-FIPS >= 13.1-37.159NetScaler ADC12.1-FIPS >= 12.1-55.297NetScaler ADC12.1-NDcPP >= 12.1-55.297注意：NetScaler ADC 和 NetScaler Gateway 12.1版本现已终止生命周期 (EOL)。建议用户将其设备升级到支持的版本之一，以解决这些漏洞。链接如下：https://www.citrix.com/downloads/citrix-adc/