Se han identificado varias
vulnerabilidades en Citrix SD-WAN Center, NetScaler SD-WAN Center, Citrix
SD-WAN Appliance y NetScaler SD-WAN Appliance. En conjunto, estas
vulnerabilidades podrían dar lugar a que un atacante no autenticado ejecute
comandos como root contra la consola de gestión de SD-WAN Center, o bien podrían
utilizarse para obtener privilegios de root en el SD-WAN Appliance, catalogada
de Importancia: 5 - Crítica
Recursos afectados:
·
Todas
las versiones de NetScaler SD-WAN 9.x;
·
Todas
las versiones de NetScaler SD-WAN 10.0.x, anteriores a 10.0.8;
·
Todas
las versiones de Citrix SD-WAN 10.1.x;
·
Todas
las versiones de Citrix SD-WAN 10.2.x, anteriores a 10.2.3.
Recomendación
·
Actualizar
a la versión 10.0.8
de NetScaler SD-WAN Center y NetScaler SD-WAN Appliance.
·
Actualizar
a la versión 10.2.3
de Citrix SD-WAN Center y Citrix SD-WAN Appliance.
Detalle de vulnerabilidades
Se han identificado las siguientes
vulnerabilidades:
1.
Inyección
de comandos no autenticados en Citrix SD-WAN Center, versiones 10.2.x anteriores
a 10.2.3, y en NetScaler SD-WAN Center, versiones 10.0.x anteriores a 10.0.8.
Se han reservado los identificadores CVE-2019-12985, CVE-2019-12986,
CVE-2019-12987 y CVE-2019-12988 para esta vulnerabilidad.
2.
Salto
de directorio en la escritura de archivos en Citrix SD-WAN Center, versiones
10.2.x anteriores a 10.2.3, y en NetScaler SD-WAN Center, versiones 10.0.x
anteriores a 10.0.8. Se ha reservado el identificador CVE-2019-12990 para esta
vulnerabilidad.
3.
Inyección
de comandos autenticados en Citrix SD-WAN Center, versiones 10.2.x anteriores a
10.2.3, y en NetScaler SD-WAN Center, versiones 10.0.x anteriores a 10.0.8. Se
ha reservado el identificador CVE-2019-12992 para esta vulnerabilidad.
4.
Inyection
SQL no autenticada en Citrix SD-WAN Appliance, versiones 10.2.x anteriores a
10.2.3, y en NetScaler SD-WAN Appliance, versiones 10.0.x anteriores a 10.0.8.
Se ha reservado el identificador CVE-2019-12989 para esta vulnerabilidad.
5.
Inyección
de comandos autenticados en Citrix SD-WAN Appliance, versiones 10.2.x anteriores
a 10.2.3, y en NetScaler SD-WAN Appliance, versiones 10.0.x anteriores a 10.0.8.
Se ha reservado el identificador CVE-2019-12991 para esta vulnerabilidad.
Más información
Citrix SD-WAN Multiple Security
Updates https://support.citrix.com/article/CTX251987
Fuente: INCIBE