Citrix a corrigé une vulnérabilité de gravité critique dans NetScaler Console, son produit de surveillance et de gestion basé sur le cloud, qui, si elle était exploitée, pourrait donner aux attaquants un accès non autorisé à des données sensibles.
La faille (CVE-2024-6235), qui obtient un score de 9,4 sur 10 sur l’échelle CVSS, provient d’une authentification incorrecte et pourrait être exploitée par un attaquant ayant accès à une adresse IP de NetScaler Console. Les versions de NetScaler Console 14.1 antérieures à 14.1-25.53 sont concernées. Dans des avis distincts, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et le Centre national de cybersécurité a exhorté les utilisateurs et les administrateurs à appliquer les mises à jour de la faille, ainsi que de plusieurs autres vulnérabilités corrigées par Citrix mardi.
« Citrix a publié des mises à jour de sécurité pour corriger les vulnérabilités de plusieurs produits Citrix », selon l’alerte de la CISA mardi. « Un acteur de cybermenace pourrait exploiter certaines de ces vulnérabilités pour prendre le contrôle d’un système affecté. »
Citrix a également corrigé une faille de déni de service de gravité élevée dans sa console NetScaler, qui existe également dans l’agent NetScaler et la machine virtuelle de service NetScaler (SVM). Le bogue (CVE-2024-6236) provient de la restriction inappropriée des opérations dans les limites d’un tampon mémoire, et un attaquant ayant accès à une console NetScaler, à un agent NetScaler ou à une adresse IP SVM pourrait lancer des attaques par déni de service. Citrix a également mis en garde contre un autre bogue de déni de service de gravité élevée (CVE-2024-5491) dans ses appareils NetScaler ADC et Gateway.
« Cloud Software Group encourage vivement les clients de NetScaler Console à installer les versions mises à jour pertinentes de NetScaler Console dès que possible », selon Avis de sécurité NetScaler de Citrix.
Dans l’application Citrix Workspace pour Windows, une vulnérabilité de haute gravité (CVE-2024-6286) a été corrigé et pourrait donner aux attaquants peu privilégiés des privilèges SYSTEM s’ils disposent d’un accès local au système ciblé. La faille affecte les versions de l’application Citrix Workspace pour Windows antérieures à 2403.1 dans la version actuelle (des correctifs sont disponibles dans les versions 2403.1 et ultérieures) et les versions antérieures à 2402 dans la version de service à long terme (des correctifs sont disponibles dans les versions 2402 et ultérieures).
NetScaler a déjà été la cible de cybercriminels. L’année dernière, des cybercriminels ont exploité une faille de gravité critique dans les appareils Citrix NetScaler ADC et Gateway afin de cibler les services professionnels, les technologies et les organisations gouvernementales. La faille (CVE-2023-4966) provenait d’un problème lié à un tampon non authentifié et pouvait permettre la divulgation d’informations sensibles.
2024-07-10 22:05:22
1720640692
#Citrix #met #garde #contre #une #faille #critique #dans #console #NetScaler