Citrix proporciona actualización de seguridad en varios de sus productos

21 Septiembre 2020
Alto

Se han descubierto varias vulnerabilidades en Citrix ADC (NetScaler ADC), Citrix Gateway (NetScaler Gateway), Citrix StoreFront y los modelos de dispositivo Citrix SD-WAN WANOP 4000-WO, 4100-WO, 5000-WO y 5100-WO. 

Estas vulnerabilidades, si se explotan, podrían provocar los siguientes problemas de seguridad:

CVE-2020-8245 Citrix ADC, Citrix Gateway

Un ataque de inyección de HTML contra el portal web SSL VPN.

CVE-2020-8246 Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP

Un ataque de denegación de servicio que se origina en la red de gestión.

CVE-2020-8247 Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP

Escalada de privilegios en la interfaz de gestión.

CVE-2020-8200 Citrix StoreFront

Leer archivos arbitrarios de un servidor.

Nota:

Citrix ha agregado CVE-2020-8253 a su boletín de seguridad reportado el 11 de agosto pasado, el cual afecta a varias versiones de instancias on-premise de Citrix Endpoint Management (CEM), también conocidas como XenMobile Server.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Los clientes deben tener en cuenta que Citrix ADC y Citrix Gateway en sus versiones 12.0, han alcanzado el fin de mantenimiento, por lo que se ven afectados por estas vulnerabilidades. Citrix, recomienda que los clientes que utilicen esta versión actualicen a una versión posterior que resuelva estos problemas.

El listado de las CVE se adjunta a continuación:


Tags: #Citrix #parche #adc #gateway #NetScaler #wanop


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.