Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Citrix SD-WAN

Múltiples vulnerabilidades en Citrix SD-WAN

Fecha de publicación: 
11/07/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • Todas las versiones de NetScaler SD-WAN 9.x;
  • Todas las versiones de NetScaler SD-WAN 10.0.x, anteriores a 10.0.8;
  • Todas las versiones de Citrix SD-WAN 10.1.x;
  • Todas las versiones de Citrix SD-WAN 10.2.x, anteriores a 10.2.3.
Descripción: 

Se han identificado varias vulnerabilidades en Citrix SD-WAN Center, NetScaler SD-WAN Center, Citrix SD-WAN Appliance y NetScaler SD-WAN Appliance. En conjunto, estas vulnerabilidades podrían dar lugar a que un atacante no autenticado ejecute comandos como root contra la consola de gestión de SD-WAN Center, o bien podrían utilizarse para obtener privilegios de root en el SD-WAN Appliance.

Solución: 
  • Actualizar a la versión 10.0.8 de NetScaler SD-WAN Center y NetScaler SD-WAN Appliance.
  • Actualizar a la versión 10.2.3 de Citrix SD-WAN Center y Citrix SD-WAN Appliance.
Detalle: 

Se han identificado las siguientes vulnerabilidades:

  • Inyección de comandos no autenticados en Citrix SD-WAN Center, versiones 10.2.x anteriores a 10.2.3, y en NetScaler SD-WAN Center, versiones 10.0.x anteriores a 10.0.8. Se han reservado los identificadores CVE-2019-12985, CVE-2019-12986, CVE-2019-12987 y CVE-2019-12988 para esta vulnerabilidad.
  • Salto de directorio en la escritura de archivos en Citrix SD-WAN Center, versiones 10.2.x anteriores a 10.2.3, y en NetScaler SD-WAN Center, versiones 10.0.x anteriores a 10.0.8. Se ha reservado el identificador CVE-2019-12990 para esta vulnerabilidad.
  • Inyección de comandos autenticados en Citrix SD-WAN Center, versiones 10.2.x anteriores a 10.2.3, y en NetScaler SD-WAN Center, versiones 10.0.x anteriores a 10.0.8. Se ha reservado el identificador CVE-2019-12992 para esta vulnerabilidad.
  • Inyection SQL no autenticada en Citrix SD-WAN Appliance, versiones 10.2.x anteriores a 10.2.3, y en NetScaler SD-WAN Appliance, versiones 10.0.x anteriores a 10.0.8. Se ha reservado el identificador CVE-2019-12989 para esta vulnerabilidad.
  • Inyección de comandos autenticados en Citrix SD-WAN Appliance, versiones 10.2.x anteriores a 10.2.3, y en NetScaler SD-WAN Appliance, versiones 10.0.x anteriores a 10.0.8. Se ha reservado el identificador CVE-2019-12991 para esta vulnerabilidad.

Encuesta valoración