
6月25日Citrix针对应用交付控制器NetScaler ADC、安全闸道NetScaler Gateway修补重大层级的资安漏洞CVE-2025-6543,并提及此漏洞已有实际用于攻击的情况,不到一週的时间,美国网路安全暨基础设施安全局(CISA)证实,这项漏洞已被用于实际攻击行动。
CVE-2025-6543是记忆体溢位漏洞,有可能导致非预期的控制流程,或是造成阻断服务的现象,4.0版CVSS风险评为9.2分,值得留意的是,这项漏洞不光影响特定组态的NetScaler设备,还可能波及零信任解决方案Secure Private Access。
6月30日CISA将此漏洞列入已知遭到利用的漏洞列表(KEV),要求联邦机构必须在7月21日前完成修补,而对于骇客如何利用这项漏洞,以及是否被用于勒索软件攻击,CISA并未说明,有待其他研究人员公布相关资讯。