RelayState欺骗：利用Citrix NetScaler中的反射型XSS漏洞

在网络安全领域，在复现N-day漏洞时剖析系统并发现漏洞并不罕见。watchTowr Labs的安全研究人员最近在分析影响Citrix NetScaler设备的CitrixBleed2（CVE-2025-5777）时遇到了这种情况。在他们的分析过程中，他们发现了两个漏洞：一个内存泄漏（WT-2025-0089）和一个反射型跨站脚本（XSS）漏洞（CVE-2025-12101或WT-2025-0090）。虽然Citrix认为内存泄漏不是问题，但反射型XSS漏洞构成了潜在风险。

漏洞详情

已识别的反射型XSS漏洞CVE-2025-12101存在于Citrix NetScaler的单点登录（SSO）流程中，特别影响RelayState参数。该参数在认证过程中用于在身份提供商和服务提供商之间维护用户的会话状态。该漏洞的出现是由于在/cgi/logout端点对RelayState参数的处理不当。

攻击可以通过跨站请求伪造（CSRF）攻击进行，因为/cgi/logout端点接受包含有效SAMLResponse和修改后的RelayState的HTTP POST请求。通过制作恶意的HTTP POST请求，攻击者可以将任意的HTML和JavaScript代码注入RelayState参数，以便在用户的浏览器会话中执行。

概念验证（PoC）

以下HTTP POST请求演示了如何通过将JavaScript代码注入RelayState参数来触发XSS漏洞：

1
2
3
4
5
6
7

POST /cgi/logout HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36
Host: target
Content-Type: application/x-www-form-urlencoded
Content-Length: 1629

SAMLResponse=[BASE64-SAML-Response]&RelayState=<@base64><https://<custom-domain>.com/></@base64>

受影响产品

反射型XSS漏洞CVE-2025-12101影响以下产品：

• NetScaler ADC和NetScaler Gateway 14.1早于14.1-56.73的版本
• NetScaler ADC和NetScaler Gateway 13.1早于13.1-60.32的版本
• NetScaler ADC 13.1-FIPS和NDcPP早于13.1-37.250-FIPS和NDcPP的版本
• NetScaler ADC 12.1-FIPS和NDcPP早于12.1-55.333-FIPS和NDcPP的版本

Citrix NetScaler ADC和Gateway是应用交付和安全设备，为Web应用提供负载均衡、流量管理和安全功能。

影响和利用潜力

成功利用反射型XSS漏洞CVE-2025-12101可能带来严重后果。攻击者可以在用户会话的上下文中执行任意JavaScript代码，导致：

• 会话劫持：未经授权访问用户的会话和敏感数据
• 页面篡改：改变网页外观以误导或伤害用户
• 重定向到恶意网站：将用户重定向到钓鱼或恶意软件分发网站

缓解措施和建议

将您的Citrix产品升级到供应商提供的补丁：

• NetScaler ADC和NetScaler Gateway 14.1-56.73、13.1-60.32或更高版本
• NetScaler ADC 13.1-FIPS和NDcPP 13.1-37.250或更高版本
• NetScaler ADC 12.1-FIPS和NDcPP 12.1-55.333或更高版本

使用Saner补丁管理即时修复风险

Saner补丁管理是一个持续、自动化和集成的软件，可以即时修复在野外被利用的风险。该软件支持Windows、Linux和macOS等主要操作系统，以及550多个第三方应用。

它还允许您设置安全测试区域，以便在主生产环境中部署补丁之前测试补丁。Saner补丁管理还支持在补丁失败或系统故障时回滚补丁的功能。

在此体验最快、最准确的补丁软件。