Objet: Multiples vulnérabilités dans les produits Citrix

Risque(s)

• Exécution de code arbitraire à distance
• Atteinte à l'intégrité des données
• Élévation de privilèges
• Injection de code indirecte à distance (XSS)

Systèmes affectés

• Citrix StoreFront versions antérieures à 2203 LTSR (2203.0.0)
• Citrix StoreFront versions antérieures à 1912 LTSR CU5 (1912.0.5000)
• Citrix Virtual Apps and Desktops versions antérieures à 2203 LTSR
• Citrix Virtual Apps and Desktops versions antérieures à 1912 LTSR CU5
• Citrix SD-WAN Standard/Premium Edition Appliance versions antérieures à 11.4.3a
• Citrix SD-WAN Center Management Console versions antérieures 11.4.3
• Citrix SD-WAN Standard/Premium Edition Appliance versions antérieures à 11.4.1
• Citrix SD-WAN Orchestrator for On-Premises versions antérieures à 13.2.1
• XenMobile Server versions antérieures à 10.14.0 avec le patch 4
• XenMobile Server versions antérieures à 10.13.0 avec le patch 7
• XenMobile Server versions antérieures à 10.14.0 avec le patch 5
• XenMobile Server versions antérieures à 10.13.0 avec le patch 8
• Citrix Gateway Plug-in for Windows versions antérieures à 21.9.1.2
• Citrix ADC et Citrix Gateway versions antérieures à 13.1-4.44
• Citrix ADC et Citrix Gateway  versions antérieures à 13.0-83.29
• Citrix ADC et Citrix Gateway versions antérieures à 12.1-63.22
• Citrix ADC et Citrix Gateway versions antérieures à 12.1-FIPS 12.1-55.277
• Citrix ADC et Citrix Gateway versions antérieures à 12.1-NDcPP 12.1-55.276

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Citrix. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à l'intégrité des données et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Citrix CTX377814 du 12 avril 2022
  https://support.citrix.com/article/CTX377814
• Bulletin de sécurité Citrix CTX370550 du 12 avril 2022
  https://support.citrix.com/article/CTX370550
• Bulletin de sécurité Citrix CTX370551 du 12 avril 2022
  https://support.citrix.com/article/CTX370551
• Bulletin de sécurité Citrix CTX341455 du 12 avril 2022
  https://support.citrix.com/article/CTX341455
• Référence CVE CVE-2022-27503
  https://www.cve.org/CVERecord?id=CVE-2022-27503
• Référence CVE CVE-2022-27505
  https://www.cve.org/CVERecord?id=CVE-2022-27505
• Référence CVE CVE-2022-27506
  https://www.cve.org/CVERecord?id=CVE-2022-27506
• Référence CVE CVE-2021-44519
  https://www.cve.org/CVERecord?id=CVE-2021-44519
• Référence CVE CVE-2021-44520
  https://www.cve.org/CVERecord?id=CVE-2021-44520
• Référence CVE CVE-2022-26151
  https://www.cve.org/CVERecord?id=CVE-2022-26151
• Référence CVE CVE-2022-21827
  https://www.cve.org/CVERecord?id=CVE-2022-21827