NetScaler tem vulnerabilidade XSS exposta

Cloud Software Group divulgou uma vulnerabilidade de cross-site scripting (XSS) que afeta os produtos NetScaler ADC e NetScaler Gateway. A falha, catalogada como CVE-2025-12101, permite a injeção de scripts maliciosos em páginas web acessadas por usuários, podendo causar sequestro de sessões, roubo de dados e ações não autorizadas.
A pontuação CVSSv4 é moderada (5.9), indicando acessibilidade pela rede e dependência de interação do usuário.
Ambos os produtos são utilizados globalmente como controladores de entrega de aplicações e soluções de acesso remoto seguro.

Detalhes técnicos

NetScaler ADC (antes Citrix ADC) e NetScaler Gateway gerenciam conexões VPN, balanceamento de carga e autenticação, tornando-se alvos valiosos para atacantes.
O problema decorre da neutralização inadequada de entradas durante a geração das páginas web (CWE-79).

Requisitos para exploração

A exploração exige configurações específicas: o NetScaler deve estar operando como Gateway (incluindo VPN virtual server, ICA Proxy, CVPN ou RDP Proxy) ou como servidor virtual AAA para autenticação.

Versões afetadas

As versões afetadas incluem NetScaler ADC e Gateway 14.1 anterior à 14.1-56.73, 13.1 anterior à 13.1-60.32, 13.1-FIPS e NDcPP anterior à 13.1-37.250-FIPS e NDcPP, e 12.1-FIPS e NDcPP anterior à 12.1-55.333-FIPS e NDcPP.
Vale ressaltar que as versões 12.1 e 13.0 estão em end-of-life (EOL), permanecendo vulneráveis sem suporte.

Impacto nos clientes

Usuários que utilizam Secure Private Access localmente ou em ambientes híbridos com instâncias NetScaler enfrentam riscos semelhantes e devem atualizar esses componentes.
O aviso aplica-se apenas a appliances gerenciadas pelos clientes; serviços gerenciados pela Cloud Software Group recebem atualizações automaticamente.

Detecção e mitigação

Administradores devem inspecionar configurações do NetScaler, buscando servidores virtuais de autenticação ou configurações de Gateway.
Apesar de não haver relatos de exploração ativa, a simplicidade da falha pode atrair atacantes oportunistas, especialmente onde existem sistemas legados sem patch.
A orientação é a atualização imediata para versões corrigidas, como NetScaler ADC e Gateway 14.1-56.73 ou superior, ou os patches correspondentes para variantes FIPS/NDcPP.
Para sistemas EOL, é recomendada a migração para versões suportadas.

Considerações finais

A Cloud Software Group oferece as correções sem custos, mas destaca que as informações são fornecidas “como estão”, sem garantias.
Essa divulgação ocorre em um contexto de maior atenção para vulnerabilidades em cadeias de suprimentos e acesso remoto, enfatizando a importância de auditorias e gestão de versões para manter a segurança.

Como funciona XSS no NetScaler

O ataque ocorre quando entradas não são devidamente filtradas e neutralizadas pelo NetScaler, permitindo que scripts maliciosos sejam incorporados às páginas acessadas pelos usuários.
A exploração só é possível em determinadas configurações de Gateway ou AAA authentication, e exige que a vítima acesse uma página manipulada. Se bem-sucedido, o atacante pode roubar credenciais, sequestrar sessões, ou forçar ações não autorizadas no ambiente da vítima.