Skip to content
arrow-alt-circle-up icon

Cyber Incident?

arrow-alt-circle-up icon

Call 00800 1744 0000

arrow-alt-circle-up icon

Dutch follows English

 

On 17 June 2025, Citrix published an advisory regarding two vulnerabilities [1]. Two critical vulnerabilities in NetScaler ADC and NetScaler Gateway appliances allow attackers to gain unauthorized access to certain parts of the system and lead to an Out-of-bounds Read. We find it likely that these vulnerabilities will be abused in the short term. Immediate patching and terminating all active ICA and PCoIP sessions is required. The NCSC describes these vulnerabilities as NCSC-2025-0196 [2]. 

 

Description 

The vulnerability tracked as CVE-2025-5777 (CVSS 9.3) is caused by insufficient input validation in systems that are configured as Gateway services including VPN virtual servers, ICA Proxy, Citrix Virtual Private Network (CVPN), Remote Desktop Protocol (RDP) Proxy and AAA servers and can lead to an Out-of-bounds Read. This vulnerability can therefore be exploited remotely by an attacker without prior authentication. 

The vulnerability tracked as CVE-2025-5349 (CVSS 8.7) concerns an issue with improper access control on the NetScaler Management Interface. Attackers can abuse the vulnerability to gain unauthorized access to certain parts of the system such as the Network Services IP (NSIP), the Cluster Management IP, or the local Global Server Load Balancing (GSLB) Site IP. To exploit this vulnerability, it is necessary for an attacker to have access to the NSIP address, the Cluster Management IP or the local GSLB Site IP. 

 

The following versions of NetScaler ADC and NetScaler Gateway are affected by the vulnerabilities: 

  • NetScaler ADC and NetScaler Gateway 14.1 before 14.1-43.56 

  • NetScaler ADC and NetScaler Gateway 13.1 before 13.1-58.32 

  • NetScaler ADC 13.1-FIPS and NDcPP before13.1-37.235-FIPS and NDcPP 

  • NetScaler ADC 12.1-FIPS before 12.1-55.328-FIPS 

 

NetScaler ADC and NetScaler Gateway versions 12.1 and 13.0 are also vulnerable. Note that these systems are End of Life (EOL) and you are advised to update to a supported version. 

 

Impact 

We estimate the impact of these vulnerabilities as high, because these vulnerabilities make it possible for an attacker to gain unauthenticated access to parts of the system. 

 

Risk 

We estimate the risk of these vulnerabilities as high, because of the popularity of these NetScaler Gateway and NetScaler ADC and the widespread usage of these applicances. At this time there are no indications that the vulnerabilities are actively exploited. Because the information regarding these vulnerabilities is now publicly available, we expect Proof-of-Concept (PoC) exploit code for these vulnerabilities to be published soon.
 

Mitigation 

Customers using NetScaler ADC and NetScaler Gateway are strongly advised to install the relevant updated versions as soon as possible.  

 

  • NetScaler ADC and NetScaler Gateway 14.1-43.56 and later releases 

  • NetScaler ADC and NetScaler Gateway 13.1-58.32 and later releases 

  • NetScaler ADC 13.1-FIPS and 13.1-NDcPP 13.1-37.235 and later releases of 13.1-FIPS and 13.1-NDcPP 

  • NetScaler ADC 12.1-FIPS 12.1-55.328 and later releases of 12.1-FIPS 

     

Citrix also recommends terminating all active ICA and PCoIP sessions after installing the security updates. 

kill icaconnection -all 

kill pcoipConnection –all 

What should you do? 

We recommend to update the NetScaler ADC and NetScaler Gateway to one of the versions mentioned above as soon as possible if you use a vulnerable version of the software. Additionally, make sure to terminate all active ICA and PCoIP sessions after installing the security updates. 

 

What will Northwave do? 

Vulnerability Management customers will be informed in case vulnerable systems are detected in their infrastructure.  

We will monitor any developments regarding this vulnerability. If new critical information about this threat arises we will reach out to you. You can call us by phone or send us an email if you would like additional information. 


E-mail: soc@northwave-cybersecurity.com
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000
 

Disclaimer applies, see below. 

Sources 

[1]: https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420  

[2]: https://advisories.ncsc.nl/advisory?id=NCSC-2025-0196  

 

 

 

 

Beste lezer,

Op 17 juni 2025 heeft Citrix een beveiligingsadvies gepubliceerd over twee kwetsbaarheden [1]. Twee kritieke kwetsbaarheden in NetScaler ADC- en NetScaler Gateway-appliances stellen aanvallers in staat ongeautoriseerde toegang te verkrijgen tot bepaalde delen van het systeem en kunnen leiden tot een out-of-bounds read. Het is waarschijnlijk dat deze kwetsbaarheden op korte termijn zullen worden misbruikt. Direct patchen en het beëindigen van alle actieve ICA- en PCoIP-sessies is vereist. Het NCSC beschrijft deze kwetsbaarheden als NCSC-2025-0196 [2]. 

 

Beschrijving 

De kwetsbaarheid met het kenmerk CVE-2025-5777 (CVSS 9.3) ontstaat door onvoldoende input validation in systemen die zijn geconfigureerd als Gateway-diensten, waaronder VPN-virtual servers, ICA Proxy, Citrix Virtual Private Network (CVPN), Remote Desktop Protocol (RDP) Proxy en AAA-servers, en kan leiden tot een Out-of-bounds Read. Deze kwetsbaarheid kan daardoor op afstand worden misbruikt door een aanvaller zonder voorafgaande authenticatie. 

 

De kwetsbaarheid met het kenmerk CVE-2025-5349 (CVSS 8.7) betreft een probleem met onjuiste toegangscontrole binnen de NetScaler Management Interface. Aanvallers kunnen deze kwetsbaarheid misbruiken om ongeautoriseerde toegang te krijgen tot bepaalde onderdelen van het systeem, zoals het Network Services IP (NSIP), het Cluster Management IP of het lokale Global Server Load Balancing (GSLB) Site IP. Om deze kwetsbaarheid te kunnen misbruiken, moet een aanvaller toegang hebben tot het NSIP-adres, het Cluster Management IP of het lokale GSLB Site IP. 

 

De volgende versies van NetScaler ADC en NetScaler Gateway zijn kwetsbaar voor de genoemde kwetsbaarheden: 

  • NetScaler ADC en NetScaler Gateway 14.1 vóór 14.1-43.56 

  • NetScaler ADC en NetScaler Gateway 13.1 vóór 13.1-58.32 

  • NetScaler ADC 13.1-FIPS en NDcPP vóór 13.1-37.235-FIPS en NDcPP 

  • NetScaler ADC 12.1-FIPS vóór 12.1-55.328-FIPS 

 

Daarnaast zijn NetScaler ADC en NetScaler Gateway versies 12.1 en 13.0 ook kwetsbaar. Let op: deze systemen zijn End of Life (EOL) en het wordt dringend geadviseerd om te updaten naar een ondersteunde versie. 

 

Impact 

Wij schatten de impact van deze kwetsbaarheden als hoog in, omdat deze kwetsbaarheden het mogelijk maken voor een aanvaller om zonder authenticatie toegang te krijgen tot delen van het systeem. 

 

Risico 

Wij schatten het risico van deze kwetsbaarheden als hoog in, vanwege de populariteit van NetScaler Gateway en NetScaler ADC en het brede gebruik van deze appliances. Op dit moment zijn er geen aanwijzingen dat de kwetsbaarheden actief worden misbruikt. Omdat de informatie over deze kwetsbaarheden nu openbaar beschikbaar is, verwachten wij dat er binnenkort Proof-of-Concept (PoC) exploitcode voor deze kwetsbaarheden zal worden gepubliceerd. 

 

Mitigatie 

Klanten die NetScaler ADC en NetScaler Gateway gebruiken, wordt sterk aangeraden om zo snel mogelijk de relevante bijgewerkte versies te installeren. 

  • NetScaler ADC en NetScaler Gateway 14.1-43.56 en latere versies 

  • NetScaler ADC en NetScaler Gateway 13.1-58.32 en latere versies 

  • NetScaler ADC 13.1-FIPS en 13.1-NDcPP 13.1-37.235 en latere versies van 13.1-FIPS en 13.1-NDcPP 

  • NetScaler ADC 12.1-FIPS 12.1-55.328 en latere versies van 12.1-FIPS 

 

Citrix adviseert daarnaast om na het installeren van de beveiligingsupdates alle actieve ICA- en PCoIP-sessies te beëindigen. 

 

Wat moet u doen? 

Wij raden aan om NetScaler ADC en NetScaler Gateway zo snel mogelijk te patchen naar een van de hierboven genoemde versies als u een kwetsbare versie van de software gebruikt. Zorg er daarnaast voor dat u na het installeren van de beveiligingsupdates alle actieve ICA- en PCoIP-sessies beëindigt. 

 

Wat doet Northwave? 

Northwave informeert Vulnerability Management klanten wanneer in hun infrastructuur kwetsbare systemen worden ontdekt.  

Northwave houdt de ontwikkelingen omtrent deze kwetsbaarheden in de gaten. Als er belangrijke nieuwe informatie omtrent deze dreiging bekend wordt, stellen wij u hiervan op de hoogte. Als u behoefte heeft aan extra informatie zijn we zowel telefonisch als via email bereikbaar.
 

E-mail: soc@northwave-cybersecurity.com
Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000  

 
Disclaimer is van toepassing, zie onder. 

Bronnen 

[1]: https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420  

[2]: https://advisories.ncsc.nl/advisory?id=NCSC-2025-0196  
 

 

 

 

Disclaimer

Northwave has made every effort to make this information accurate and reliable. However, the information provided is without warranty of any kind and its use is at the sole risk of the user. Northwave does not accept any responsibility or liability for the accuracy, content, completeness, legality or reliability of the information provided. We will not be liable for any loss or damage of whatever nature, direct or indirect, consequential or other, whether arising in contract, tort or otherwise, which may arise as a result of your use of, or inability to use, this information or any additional information provided by us in direct or indirect relation to the information provided here.
 
.