Citrix ha publicado actualizaciones de seguridad para abordar un defecto crítico que afecta a Netscaler ADC que, según él, ha sido explotado en la naturaleza.
La vulnerabilidad, rastreada como CVE-2025-6543lleva una puntuación CVSS de 9.2 de un máximo de 10.0.
Se ha descrito como un caso de desbordamiento de memoria que podría resultar en un flujo de control no deseado y la negación de servicio. Sin embargo, la explotación exitosa requiere que el dispositivo se configure como puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o servidor virtual AAA.
La deficiencia impacta las versiones a continuación –
- NetScaler ADC y Netscaler Gateway 14.1 antes del 14.1-47.46
- Netscaler ADC y Netscaler Gateway 13.1 antes del 13.1-59.19
- NetScaler ADC y Netscaler Gateway 12.1 y 13.0 (vulnerable y final de la vida)
- NetScaler ADC 13.1-FIPS y NDCPP antes del 13.1-37.236-FIPS y NDCPP
«El acceso privado seguro en las implementaciones híbridas de acceso privado o híbrido seguro que utilizan instancias de NetScaler también se ven afectadas por las vulnerabilidades», dijo Citrix.
«Los clientes deben actualizar estas instancias de NetScaler a las compilaciones de NetScaler recomendadas para abordar las vulnerabilidades».
La compañía no reveló cómo se está explotando la falla en los ataques del mundo real, pero dijo que «se han observado» exploits de CVE-2025-6543 en electrodomésticos no mitigados «.
La divulgación se produce poco después de que Citrix reparó otro defecto de seguridad con calificación crítica en Netscaler ADC (CVE-2025-5777, puntaje CVSS: 9.3) que podría ser explotado por actores de amenaza para obtener acceso a electrodomésticos susceptibles.