基本信息

平台编号： POC-2023-85725 影响厂商： Citrix 厂商官网： https://support.citrix.com/ 组件分类： 通用软硬件漏洞 漏洞类别： 缓冲区错误 风险等级： 高危 CVSS 3.X： 9.4 是否有POC： 是 CVE 编号： CVE-2023-4966 CNVD 编号： N/A EZ 是否支持： EZ 不支持 提交时间： 2023-10-26 访问次数： 690

漏洞描述

lCitrix NetScaler ADC是一款高性能的应用交付和负载均衡解决方案产品，可以优化应用的可用性、速度和安全性。近日，Citrix 官方发布更新，修复了Citrix NetScaler ADC/NetScaler Gateway中的一处会话令牌泄露漏洞，攻击者可以通过发送包含特大的Host头的HTTP请求来触发漏洞，导致服务器响应中包含内存中的数据。这些数据中可能包含有效的会话令牌，攻击者可以利用这些令牌进行未经授权的访问。

影响范围

NetScaler ADC 和 NetScaler Gateway 14.1-8.50 及更高版本NetScaler ADC 和 NetScaler Gateway 13.1-49.15 以及 13.1 的更高版本NetScaler ADC 和 NetScaler Gateway 13.0-92.19 及 13.0 的更高版本  NetScaler ADC 13.1-FIPS 13.1-37.164 和 13.1-FIPS 的更高版本  NetScaler ADC 12.1-FIPS 12.1-55.300 和 12.1-FIPS 的更高版本  NetScaler ADC 12.1-NDcPP 12.1-55.300 和 12.1-NDcPP 的更高版本 NetScaler ADC 和 NetScaler Gateway 版本 12.1 现已停产 (EOL)。建议客户将其设备升级到可解决漏洞的受支持版本之一。

漏洞详情

暂无详情

POC 代码

游客没有权限查看 POC，请登录后查看！

加固建议

目前官方已发布安全版本的更新，建议用户及时升级到安全版本：https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967

参考来源

https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967https://www.assetnote.io/resources/research/citrix-bleed-leaking-session-tokens-with-cve-2023-4966