关键漏洞信息 漏洞概述 标题: Multiple vulnerabilities in Citrix NetScaler Application Delivery Controller and Citrix NetScaler Gateway 产品: Citrix NetScaler Application Delivery Controller, Citrix NetScaler Gateway 漏洞版本: =9.3-62.4, >=10.1-126.12 CVE编号: CVE-2014-4346, CVE-2014-4347 影响等级: High 发现时间: 2014-01-05 发现者: Stefan Viehböck, SEC Consult Vulnerability Lab 官网: www.citrix.com 漏洞详情 1. Cookie披露 - 描述: Apache g_soap模块中的错误处理程序会打印所有请求头信息,包括HTTP Cookie字段。此漏洞可用于XSS攻击以获取管理员的“SESSID”cookie。 - 证明概念: 通过特定的GET请求可以获取Cookie信息。 2. 反射型跨站脚本(XSS) - 描述: Citrix Netscaler存在多个XSS漏洞,允许攻击者窃取用户信息、冒充用户并执行管理操作。 - 证明概念: 通过特定URL注入JavaScript代码实现攻击。 影响版本 确认漏洞存在的版本: Citrix NetScaler VPX 10.0 可能受影响的版本: <10.1-126.12和<9.3-62.4 解决方案 建议: 更新到较新版本的Citrix NetScaler。 其他信息 官网文章: https://support.citrix.com/article/ctx140863 无临时解决方法。