Citrix NetScaler ADC与网关漏洞允许跨站脚本攻击

云软件集团披露了影响NetScaler ADC和NetScaler Gateway产品的跨站脚本（XSS）漏洞。该漏洞编号为CVE-2025-12101，允许攻击者向用户查看的网页中注入恶意脚本，可能导致会话劫持、数据窃取或未经授权的操作。

该漏洞CVSSv4评分为5.9（中等），表明其具有网络可访问性但依赖用户交互。NetScaler ADC（前身为Citrix ADC）和NetScaler Gateway作为全球数千家组织的重要应用交付控制器和安全远程访问解决方案，负责处理VPN连接、负载均衡和身份验证，因此成为威胁行为者的主要目标。

此XSS问题源于网页生成期间输入清理不当，归类于CWE-79。利用需要特定配置：NetScaler必须作为网关（包括VPN虚拟服务器、ICA代理、CVPN或RDP代理）或AAA虚拟服务器运行身份验证。

受影响版本包括：

• NetScaler ADC和Gateway 14.1早于14.1-56.73
• 13.1早于13.1-60.32
• 13.1-FIPS和NDcPP早于13.1-37.250-FIPS和NDcPP
• 12.1-FIPS和NDcPP早于12.1-55.333-FIPS和NDcPP

值得注意的是，12.1和13.0版本已终止支持，使其永久处于无补丁的脆弱状态。使用NetScaler实例的本地或混合部署安全私有访问的客户面临类似风险，必须升级这些组件。该公告仅适用于客户管理的设备；云软件集团负责其托管云服务和自适应身份验证的更新。

为检测暴露情况，管理员应检查其NetScaler配置中的身份验证虚拟服务器（如"add authentication vserver .*"）或网关设置（如VPN相关命令）。虽然尚未报告主动利用，但该漏洞的简单性可能吸引机会主义攻击者，特别是在具有未修补遗留系统的环境中。

云软件集团敦促立即采取行动：升级到已修补版本，包括NetScaler ADC和Gateway 14.1-56.73或更高版本、13.1-60.32或更高版本（针对13.1）、13.1-37.250或更高版本（针对FIPS/NDcPP变体）以及适用的12.1-55.333或更高版本。终止支持用户应迁移到受支持版本以降低风险。公司免费提供修复程序，但强调信息按"原样"提供，不保证对系统的影响。

此披露发布之际，正值对供应链和远程访问漏洞的审查加强，提醒企业在其安全态势中优先考虑及时修补。随着威胁形势的发展，定期配置审计和版本管理仍然是必要的防御措施。