Citrix製品ポートフォリオの複数の脆弱性にパッチが適用されました, SD-WANの重大度の高いバグを含む.
SD-WANのCVE-2022-27505
後者は次のように追跡されています CVE-2022-27505, 反映されたクロスサイトスクリプティングです (XSS) Webページ生成中の不適切な入力の結果である問題. Citrixによると、バージョン11.4.3aより前のSD-WANの標準バージョンとプレミアムバージョンの両方が影響を受けるとのことです.
会社によると, その「SD-WANテクノロジーは、ネットワークオーバーレイ内で複数のタイプのリンクを結合できます, より薄いMPLS接続に加えて、またはその代わりとして、高帯域幅のブロードバンドインターネットの利用を可能にします。」
Citrixが最後のセキュリティアップデートで修正した他の脆弱性はCVE-2022-27506です. この脆弱性は重大度の点で低いです. これにより、管理者はハードコードされたクレデンシャルを使用して、SD-WANCLIを介してシェルにアクセスできるようになります。.
公式会社アドバイザリーによると, 次のサポートされているバージョンのCitrixSD-WANは、両方の問題の影響を受けます:
- CVE-2022-27505は、11.4.3aより前のCitrix SD-WAN Standard /PremiumEditionアプライアンスに影響します;
- CVE-2022-27506は、以前のCitrixSD-WANCenter管理コンソールのバージョンに影響します 11.4.3; 以前のCitrixSD-WANStandard /PremiumEditionアプライアンスのバージョン 11.4.1; 以前のオンプレミスバージョン用のCitrixSD-WANOrchestrator 13.2.1.
その他のCitrixの欠陥も修正されました
Citrixが対処したその他の脆弱性には、CVE-2022-27503が含まれます。, StoreFrontの別のXSSの欠陥; Windows用ゲートウェイプラグインのCVE-2022-21827 (Citrix Secure Access for Windows). 後者は、ファイルの任意の破損または削除を可能にする可能性があります.
エンドポイント管理用に他の3つのパッチが導入されました (対応する問題のXenMobileサーバーCVE-2021-44519, CVE-2021-44520, およびCVE-2022-26151. これらは、基盤となるオペレーティングシステムへの不正アクセスにつながる可能性があります.
影響を受ける各Citrix製品のパッチバージョンにアップグレードすることをお勧めします.
昨年5月, CitrixShareFileの脆弱性 コンテンツコラボレーションプラットフォームが発見されました. CVE-2020-7473として識別, CVE-2020-8982, およびCVE-2020-8983, この脆弱性により、認証されていない攻撃者がストレージゾーンコントローラーを侵害する可能性があります, 攻撃者がShareFileユーザーのドキュメントとフォルダーにアクセスできるようにする.