Résumé
Le 10 juillet 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a émis une alerte concernant une faille de sécurité critique dans les produits Citrix NetScaler, utilisés pour gérer les connexions à distance (comme les VPN).
Référencée sous CVE-2025-5777, cette vulnérabilité de type lecture hors limites de la mémoire (out-of-bounds read) permet à un attaquant non authentifié d’accéder à des zones mémoire sensibles. Cela peut entraîner la divulgation d’informations confidentielles et faciliter des attaques plus avancées, compromettant ainsi la confidentialité, l’intégrité et la disponibilité du système affecté.
Solutions
Mettre à jour Citrix NetScaler ADC vers la version 12.1-55.328-FIPS, 13.1-37.235-FIPS, 13.1-58.32, 14.1-43.56 ou ultérieure.
Mettre à jour Citrix NetScaler Gateway vers la version 13.1-58.32, 14.1-43.56 ou ultérieure.
Les versions 12.1 et 13.0 sont End of Life (EOL), il est recommandé de mettre à niveau les appliances vers des versions sous support.
La faille est activement exploitée : Oui
Details techniques
Score CVSS : 9.3
Risques : Atteinte à la confidentialité des données, Atteinte à l’intégrité des données, Déni de service.
Systèmes affectés
Citrix NetScaler ADC
- Versions 12.1
- Versions 12.1-FIPS antérieures à 12.1-55.328-FIPS
- Versions 13.0
- Versions 13.1 antérieures à 13.1-58.32
- Versions 13.1-FIPS et NDcPP antérieures à 13.1-37.235-FIPS et NDcPP
- Versions 14.1 antérieures à 14.1-43.56
Citrix NetScaler Gateway
- Versions 12.1
- Versions 13.0
- Versions 13.1 antérieures à 13.1-58.32
- Versions 14.1 antérieures à 14.1-43.56
Documentation
- Bulletin de sécurité CITRIX
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420
- Bulletin de sécurité du CERT-Santé :
https://cyberveille.esante.gouv.fr/alertes/citrix-cve-2025-5777-2025-06-18
- Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2025-5777
- CVE Details
https://www.cvedetails.com/cve/CVE-2025-5777/
- Reference CVE
https://www.cve.org/CVERecord?id=CVE-2025-5777