CVE-2023-6548

CVSS 5.5 MEDIUMEPSS 3.2%● KEVCWE-94

Em resumo

NetScaler ADC e Gateway possuem uma falha de injeção de código que permite a alguém com acesso de baixo privilégio à interface de gerenciamento executar comandos não autorizados no sistema. Isso é perigoso porque oferece aos atacantes uma forma de controlar as funções de gerenciamento.

Detalhe técnico

Vulnerabilidade de injeção de código (CWE-94) na interface de gerenciamento do NetScaler ADC/Gateway permite que usuários autenticados com baixos privilégios em NSIP/CLIP/SNIP executem código arbitrário remotamente. A falha resulta de validação inadequada de entrada utilizada na geração de código, possibilitando escalação de privilégio do usuário padrão para execução de nível de sistema no plano de gerenciamento.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Improper Control of Generation of Code ('Code Injection') in NetScaler ADC and NetScaler Gateway allows an attacker with access to NSIP, CLIP or SNIP with management interface to perform Authenticated (low privileged) remote code execution on Management Interface.

CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Produtos afetados

Cloud Software Group · NetScaler ADC Cloud Software Group · NetScaler Gateway

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-6548