Se ha descubierto una nueva vulnerabilidad de seguridad con una severidad media en los productos NetScaler ADC y NetScaler Gateway de Citrix. Esta vulnerabilidad, si se explota, podría permitir a un usuario malicioso eludir los mecanismos de seguridad en las instancias de destino.
Productos y versiones afectados
NetScaler
• ADC 14.1-x, versiones anteriores al 14.1-56.73
• ADC 13.1-x, versiones anteriores a 13.1-60.32
• ADC 13.1-x-FIPS, versiones anteriores a 13.1-37.250-FIPS
• ADC 13.1-x-NDcPP, versiones anteriores al 13.1-37.250-NDcPP
• ADC 12.1-x-FIPS, versiones anteriores a 12.1-55.333-FIPS
• ADC 12.1-x-NDcPP, versiones anteriores a 12.1-55.333-NDcPP
• Gateway 14.1-x, versiones anteriores al 14.1-56.73
• Gateway 13.1-x, versiones anteriores a 13.1-60.32
Impacto
La vulnerabilidad se ha identificado como:
• CVE-2025-12101: la puntuación es de 5.9 en CVSS 4.0: Existe una vulnerabilidad de XSS en NetScaler ADC (anteriormente Citrix ADC) y NetScaler Gateway (anteriormente Citrix Gateway). Un actor malicioso podría explotar esta vulnerabilidad cuando NetScaler está configurado como Gateway (VPN Vserver, ICA Proxy, CVPN, RDP Proxy) o como servidor virtual AAA, inyectando entrada maliciosa durante la generación de páginas web. Esta explotación podría permitir ejecutar scripts no autorizados en el navegador de las víctimas y realizar acciones sin permiso, con acceso a contenido sensible a través de la sesión autenticada.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencia
• https://www.cve.org/CVERecord?id=CVE-2025-12101