Tilkynnt hefur verið um veikleika hjá TinyProxy og í NetScaler Application Delivery Control (ADC) og Gateway hjá Citrix. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir.
Tinyproxy
Veikleikinn CVE-2023-49606 með CVSSv3 veikleikastig upp á 9.8 gerir ógnaraðila kleift að senda óauðkennda HTTP fyrirspurn sem getur leitt til fjarkeyrslu á kóða [1]. Veikleikinn er til staðar í útgáfum 1.10.0 og 1.11.1.
Citrix ADC og Gateway
Bishopfox hefur gefið út grein vegna veikleika í NetScaler ADC og Gateway sem ekki hefur fengið CVE né CVSSv3 veikleikastig en honum hefur verið líkt við Citrix Bleed veikleikann (CVE-2023-4966) [2]. Veikleikinn gerir fjartengdum ógnaraðila kleift að komast yfir viðkvæmar upplýsingar frá NetScaler án auðkenningar, en þó er ólíklegra að komast yfir jafn viðkvæmar upplýsingar og í Citrix Bleed veikleikanum. Veikleikinn er til staðar í útgáfum 13.1-50.23 [3].
Tilvísanir:
[1] https://thehackernews.com/2024/05/critical-tinyproxy-flaw-opens-over.html
[2] https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967
[3] https://bishopfox.com/blog/netscaler-adc-and-gateway-advisory
