背景图片取自Tim Hüfner on Unsplash

Citrix本周发布安全更新，修补NetScaler软件两项重大风险漏洞。

本次修补的漏洞影响二项产品，包括NetScaler ADC（Application Delivery Controller）及NetScaler Gateway。二个漏洞中，较严重的是CVE-2025-5777，为对外部输入HTTP呼叫的长度验证不足导致过度读取记忆体（memory overread），造成资料不当外洩。本漏洞属于越界读取（Out-of-bounds Read）漏洞，风险值为CVSS 4.0的9.3。

其次是CVE-2025-5349，为前述产品NetScaler管理介面的存取控制不当漏洞，小则让未授权用户存取系统设定、日誌、窜改设定，大则可能导致远端程序码执行或控制作业系统。本漏洞风险值为CVSS 4.0的8.7。

受影响的产品版本为NetScaler ADC/Gateway 14.1（14.1-43.56以前）及13.1（13.1-58.32以前）、NetScaler ADC 13.1-FIPS与NDcPP（13.1-37.235以前）及NetScaler ADC 12.1-FIPS（12.1-55.328以前）。NetScaler ADC/Gateway 12.1和13.0都是已届EoL（End of Life）的产品。Citrix建议用户升级到支援版本。

此外，另二项产品Secure Private Access on-prem（本地部署）或Secure Private Access Hybrid（混合云）也受到影响。

本次安全公告适用于自行管理的NetScaler ADC/Gateway用户，Citrix管理的服务，则会由该公司软件部门解决问题。