一、漏洞概要
| 漏洞名称 |
Citrix ADC/Geteway身份验证绕过漏洞(CVE-2022-27510) |
| 发布时间 |
2022年11月15日 |
| 组件名称 |
Citrix |
| 影响范围 |
Citrix ADC/Citrix Gateway 13.1 < 13.1-33.47 Citrix ADC/Citrix Gateway 13.0 < 13.0-88.12 Citrix ADC/Citrix Gateway 12.1 < 12.1.65.21 Citrix ADC 12.1-FIPS < 12.1-55.289 Citrix ADC 12.1-NDcPP < 12.1-55.289 |
| 漏洞类型 |
身份验证绕过 |
| 利用条件 |
1、用户认证:未知 2、前置条件:未知 3、触发方式:未知 |
| 综合评价 |
<综合评定利用难度>:未知。 <综合评定威胁等级>:高危。 |
二、漏洞分析
2.1 组件介绍
Citrix即美国思杰公司。Citrix ADC是一款应用交互解决方案,集成多种特性与功能,包括负载均衡、缓存、SSL加速、攻击防御和SSL VPN等。Citrix Gateway是一款托管解决方案,用于云端托管多种类型的软件和应用程序。
2.2 漏洞描述
近日,深信服安全团队监测到一则Citrix存在身份验证绕过漏洞的信息,漏洞编号:CVE-2022-27510,漏洞等级:高危。
Citrix 在其公告中指出,此漏洞会影响已启用安全套接字层虚拟专用网络 (SSL VPN) 功能或用作具有身份验证的独立计算架构代理的设备。像这样的身份验证绕过漏洞可能会被攻击者用作进入网络的初始访问向量。
三、影响范围
Citrix ADC/Citrix Gateway 13.1 < 13.1-33.47
Citrix ADC/Citrix Gateway 13.0 < 13.0-88.12
Citrix ADC/Citrix Gateway 12.1 < 12.1.65.21
Citrix ADC 12.1-FIPS < 12.1-55.289
Citrix ADC 12.1-NDcPP < 12.1-55.289
四、解决方案
4.1修复建议
目前官方已有可更新版本,建议受影响的用户尽快更新至安全版本:
Citrix ADC/Citrix Gateway 13.1 >= 13.1-33.47
Citrix ADC/Citrix Gateway 13.0 >= 13.0-88.12
Citrix ADC/Citrix Gateway 12.1 >= 12.1.65.21
Citrix ADC 12.1-FIPS >= 12.1-55.289
Citrix ADC 12.1-NDcPP >= 12.1-55.289
下载链接如下:
https://docs.citrix.com/en-us/citrix-adc/current-release/citrix-adc-release-notes/release-notes-13-1-33-52.HTML
https://docs.citrix.com/en-us/citrix-adc/downloads/release-notes-13-0-88-14.HTML
https://docs.citrix.com/en-us/citrix-adc/downloads/release-notes-12-1-65-21.HTML
评论