AVIS CERTFR - 2022 - AVI - 331

AVIS CERT

CERT-FR

Publié le 13 avril 2022 à 15h45

Objet : Multiples vulnérabilités dans les produits Citrix

Référence : CERTFR-2022-AVI-331

Risque(s)

- Exécution de code arbitraire à distance
- Atteinte à l'intégrité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- Citrix StoreFront versions antérieures à 2203 LTSR (2203.0.0)
- Citrix StoreFront versions antérieures à 1912 LTSR CU5 (1912.0.5000)
- Citrix Virtual Apps and Desktops versions antérieures à 2203 LTSR
- Citrix Virtual Apps and Desktops versions antérieures à 1912 LTSR CU5
- Citrix SD-WAN Standard/Premium Edition Appliance versions antérieures à 11.4.3a
- Citrix SD-WAN Center Management Console versions antérieures 11.4.3
- Citrix SD-WAN Standard/Premium Edition Appliance versions antérieures à 11.4.1
- Citrix SD-WAN Orchestrator for On-Premises versions antérieures à 13.2.1
- XenMobile Server versions antérieures à 10.14.0 avec le patch 4
- XenMobile Server versions antérieures à 10.13.0 avec le patch 7
- XenMobile Server versions antérieures à 10.14.0 avec le patch 5
- XenMobile Server versions antérieures à 10.13.0 avec le patch 8
- Citrix Gateway Plug-in for Windows versions antérieures à 21.9.1.2
- Citrix ADC et Citrix Gateway versions antérieures à 13.1-4.44
- Citrix ADC et Citrix Gateway versions antérieures à 13.0-83.29
- Citrix ADC et Citrix Gateway versions antérieures à 12.1-63.22
- Citrix ADC et Citrix Gateway versions antérieures à 12.1-FIPS 12.1-55.277
- Citrix ADC et Citrix Gateway versions antérieures à 12.1-NDcPP 12.1-55.276

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Citrix. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à l'intégrité des données et une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Citrix CTX377814 du 12 avril 2022

https://support.citrix.com/article/CTX377814

- Bulletin de sécurité Citrix CTX370550 du 12 avril 2022

https://support.citrix.com/article/CTX370550

- Bulletin de sécurité Citrix CTX370551 du 12 avril 2022

https://support.citrix.com/article/CTX370551

- Bulletin de sécurité Citrix CTX341455 du 12 avril 2022

https://support.citrix.com/article/CTX341455

- Référence CVE CVE-2022-27503

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27503

- Référence CVE CVE-2022-27505

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27505

- Référence CVE CVE-2022-27506

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27506

- Référence CVE CVE-2021-44519

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44519%20

- Référence CVE CVE-2021-44520

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44520%20

- Référence CVE CVE-2022-26151

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26151%20

- Référence CVE CVE-2022-21827

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21827

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-331/