Citrix修補NetScaler 2項重大層級漏洞

Citrix本周發布安全更新，修補NetScaler軟體兩項重大風險漏洞。

本次修補的漏洞影響二項產品，包括NetScaler ADC（Application Delivery Controller）及NetScaler Gateway。二個漏洞中，較嚴重的是CVE-2025-5777，為對外部輸入HTTP呼叫的長度驗證不足導致過度讀取記憶體（memory overread），造成資料不當外洩。本漏洞屬於越界讀取（Out-of-bounds Read）漏洞，風險值為CVSS 4.0的9.3。

其次是CVE-2025-5349，為前述產品NetScaler管理介面的存取控制不當漏洞，小則讓未授權用戶存取系統設定、日誌、竄改設定，大則可能導致遠端程式碼執行或控制作業系統。本漏洞風險值為CVSS 4.0的8.7。

受影響的產品版本為NetScaler ADC/Gateway 14.1（14.1-43.56以前）及13.1（13.1-58.32以前）、NetScaler ADC 13.1-FIPS與NDcPP（13.1-37.235以前）及NetScaler ADC 12.1-FIPS（12.1-55.328以前）。NetScaler ADC/Gateway 12.1和13.0都是已屆EoL（End of Life）的產品。Citrix建議用戶升級到支援版本。

此外，另二項產品Secure Private Access on-prem（本地部署）或Secure Private Access Hybrid（混合雲）也受到影響。

本次安全公告適用於自行管理的NetScaler ADC/Gateway用戶，Citrix管理的服務，則會由該公司軟體部門解決問題。