Citrix ADC és Citrix Gateway web szerver sérülékenység

CH azonosító: CH-14749 Cím: Citrix ADC és Citrix Gateway web szerver sérülékenység Angol cím: Citrix ADC és Citrix Gateway web server vulnerability

Publikálás dátuma: 2020.01.10. Utolsó módosítás dátuma: 2020.01.10.


Leírás

A CVE-2019-19781 számon a hálózati kommunikációért felelős Citrix Application Delivery Controller (ADC) és a Citrix Gateway webserver kritikus kockázati besorolású sérülékenysége vált ismertté, amelyet kihasználva a távoli, jogosultsággal nem rendelkező támadó tetszőleges kódfuttatási képességet szerez az érintett rendszeren.

Leírás forrása: Gyártói referencia: support.citrix.com Leírás utolsó módosítása: 2020.01.10.


Elemzés leírás

A Citrix cég felhő, hálózat és virtualizációs szoftverek fejlesztésével foglalkozik. A hálózati kommunikációt biztosító Citrix ADC és a Citrix Gateway sérülékenység kihasználásához a támadónak egy speciálisan átalakított HTTP kérést kell küldenie a megtámadott  eszköz irányába. Sikeres kihasználás esetén a jogosultsággal nem  rendelkező támadó távoli kódfuttatási jogosultságra tesz szert. A kódfuttatási lehetőség az érintett rendszer egészére kiterjed.

Érintett eszközök:

  • Citrix ADC és Citrix Gateway 11.1, 12.0, 12.1, 13.0 verziók
  • Citrix NetScaler ADC és NetScaler Gateway 10.5

A gyártó közzétette a hiba orvoslásához szükséges lépéseket.

Elemzés leírás forrása: Gyártói referencia: support.citrix.com Elemzés leírás utolsó módosítása: 2020.01.10.


Hatás

CVSS3 Severity and Metrics

Base score: 9.8 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 3.9


Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

CVSS2 Severity and Metrics

Base score: 7.5 (Magas)
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P
Impact Subscore: 6.4
Exploitability Subscore: 10


Access Vector (AV): Network
Access Complexity (AC): Low
Confidentiality Impact (C): Partial
Integrity Impact (S): Partial
Availability Impact (A): Partial


Hivatkozások

Gyártói referencia: support.citrix.com
Egyéb referencia: www.tenable.com
Egyéb referencia: www.us-cert.gov
Egyéb referencia: www.kb.cert.org
CVE-2019-19781 - NVD CVE-2019-19781