Plus de 28 200 instances Citrix sont vulnérables à une vulnérabilité critique d’exécution de code à distance identifiée comme CVE-2025-7775 qui est déjà exploitée dans la nature.
La vulnérabilité affecte NetScaler ADC et NetScaler Gateway et le fournisseur l’a corrigée dans les mises à jour publiées hier.
Selon la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et Citrix, le problème de sécurité a été exploité comme une vulnérabilité zero-day.
Les versions affectées par CVE-2025-7775 sont 14.1 avant 14.1-47.48, 13.1 avant 13.1-59.22, 13.1-FIPS/NDcPP avant 13.1-37.241-FIPS/NDcPP et 12.1-FIPS/NDcPP jusqu’à 12.1-55.330-FIPS/NDcPP.
Citrix ne fournit aucune atténuation ou solution de contournement et exhorte les administrateurs à mettre à niveau le micrologiciel immédiatement.
Les analyses Internet effectuées par la plate-forme de surveillance des menaces Shadowserver Foundation peu de temps après la révélation de la faille montrent qu’il y avait plus de 28 000 instances Citrix vulnérables à CVE-2025-7775.
La plupart des cas vulnérables se trouvent aux États-Unis (10 100), suivis de l’Allemagne (4 300), du Royaume-Uni (1 400), des Pays-Bas (1 300), de la Suisse (1 300), de l’Australie (880), du Canada (820) et de la France (600).
Citrix n’a pas partagé d’indicateurs de compromission associés à l’activité d’exploitation.
Cependant, le fournisseur spécifie que CVE-2025-7775 affecte NetScaler lorsqu’il est configuré en tant que passerelle / serveur virtuel AAA( VPN, Proxy ICA, CVPN, Proxy RDP), en tant que serveurs virtuels LB (HTTP/SSL/HTTP_QUIC) liés aux services IPv6 ou DBS IPv6, ou en tant que serveur virtuel CR de type HDX.
Dans tous les cas, il est recommandé aux administrateurs de passer à l’une des versions suivantes, qui résout le problème:
- 14.1-47.48 et versions ultérieures
- 13.1-59.22 et versions ultérieures
- 13.1-FIPS / 13.1-NDcPP 13.1-37.241 et versions ultérieures
- 12.1-FIPS / 12.1-NDcPP 12.1-55.330 et versions ultérieures
Citrix a également divulgué deux autres failles de grande gravité dans son bulletin de sécurité: CVE-2025-7776 (déni de service de débordement de mémoire) et CVE-2025-8424 (contrôle d’accès incorrect sur l’interface de gestion).
Il est à noter que les versions 12.1 et 13.0 (non FIPS / NDcPP) sont également vulnérables; cependant, elles ont atteint le statut de fin de vie, de sorte que les clients qui utilisent encore ces versions doivent passer à une version prise en charge.
CISA a déjà ajouté la vulnérabilité critique CVE-2025-7775 à son catalogue de vulnérabilités exploitées connues (KEV). L’agence donne aux agences fédérales jusqu’au 28 août pour appliquer les correctifs du fournisseur ou cesser d’utiliser les produits concernés, soulignant la gravité du problème et le risque associé à l’exploitation.