Risque(s)

  • Exécution de code arbitraire
  • Élévation de privilèges
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • Citrix ADC et Citrix Gateway 13.0 versions antérieures à 13.0-64.35
  • Citrix ADC et NetScaler Gateway 12.1 versions antérieures à 12.1-58.15
  • Citrix ADC 12.1 versions antérieures à 12.1-FIPS 12.1-55.187
  • Citrix ADC et NetScaler Gateway 11.x versions antérieures à 11.1-65.12
  • Citrix SD-WAN WANOP 11.2.x versions antérieures à 11.2.1a
  • Citrix SD-WAN WANOP 11.1.x versions antérieures à 11.1.2a
  • Citrix SD-WAN WANOP 11.0.x versions antérieures à 11.0.3f
  • Citrix SD-WAN WANOP 10.x versions antérieures à 10.2.7b

L'éditeur rappelle que les versions Citrix ADC et Citrix Gateway 12.0 ne sont plus maintenues et sont vulnérables.

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Citrix ADC, Citrix Gateway et Citrix SD-WAN WANOP. Elles permettent à un attaquant de provoquer une exécution de code arbitraire, une élévation de privilèges et une injection de code indirecte à distance (XSS).

Les possibilités d'exploitation des CVE-2020-8246 et CVE-2020-8247 peuvent être réduites si l'interface de management n'est accessible que depuis un réseau d'administration sécurisé et cloisonné. Le CERT-FR rappelle à ce titre, que des recommandations sont disponibles sur le site de l'ANSSI [1].

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

L'éditeur annonce que les versions corrigeant ces vulnérabilités (cf. systèmes affectés) sont également dotées de fonctionnalités contre l'insertion de requêtes HTTP clandestines (HTTP request smuggling).

Documentation