Citrix, NetScaler ADC’yi etkileyen vahşi doğada sömürüldüğünü söylediği kritik bir kusuru ele almak için güvenlik güncellemeleri yayınladı.
Güvenlik açığı, CVE-2025-6543maksimum 10.0 üzerinden 9,2 CVSS puanı taşır.
İstenmeyen kontrol akışı ve hizmet reddi ile sonuçlanabilecek bir bellek taşması vakası olarak tanımlanmıştır. Ancak, başarılı sömürü, cihazın bir ağ geçidi (VPN sanal sunucu, ICA proxy, cvpn, RDP proxy) veya AAA sanal sunucusu olarak yapılandırılmasını gerektirir.
Keskinlik aşağıdaki sürümleri etkiler –
- NetScaler ADC ve NetScaler Gateway 14.1 14.1-47.46’dan önce
- NetScaler ADC ve NetScaler Gateway 13.1 13.1-59.19’dan önce
- NetScaler ADC ve Netscaler Gateway 12.1 ve 13.0 (savunmasız ve ömür sonu)
- 13.1-37.236-fips ve NDCPP’den önce NetScaler ADC 13.1-FIPS ve NDCPP
Citrix, “NetScaler örneklerini kullanarak şirket içi veya güvenli özel erişim hibrit dağıtımları da güvenlik açıklarından etkileniyor.” Dedi.
“Müşterilerin bu NetScaler örneklerini, güvenlik açıklarını ele almak için önerilen NetScaler yapılarına yükseltmeleri gerekiyor.”
Şirket, kusurun gerçek dünya saldırılarında nasıl sömürüldüğünü açıklamadı, ancak “CVE-2025-6543’ün uygun olmayan cihazlarda istismarları gözlendi” dedi.
Açıklama, Citrix’in NetScaler ADC’de (CVE-2025-5777, CVSS Skoru: 9.3), tehdit aktörleri tarafından duyarlı cihazlara erişim elde etmek için kullanılabilecek başka bir kritik dereceli güvenlik kusurunu yamaladıktan kısa bir süre sonra geliyor.