一、基本情况

Citrix ADC和Gateway都是美国思杰（Citrix）公司的产品。Citrix Gateway是一套安全的远程接入解决方案，可提供应用级和数据级管控功能，以实现用户从任何地点远程访问应用和数据；Citrix ADC是一个全面的应用程序交付和负载平衡解决方案，用于实现应用程序安全性、整体可见性和可用性。

二、漏洞描述

12月13日，Citrix发布安全公告，修复了Citrix ADC 和 Citrix Gateway中的一个远程代码执行漏洞（CVE-2022-27518），该漏洞的CVSSv3评分为9.8，目前已检测到漏洞利用。

Citrix ADC和Citrix Gateway多个受影响版本在配置为SAML SP（SAML服务提供商）或SAML IdP（SAML身份提供商）时，存在资源在其生命周期内的控制不当问题，可能导致未经身份验证的远程主机在设备上执行任意代码。

三、影响范围

Citrix ADC和Citrix Gateway 13.0-x：< 13.0-58.32

Citrix ADC和 Citrix Gateway 12.1-x：< 12.1-65.25

Citrix ADC 12.1-FIPS：< 12.1-55.291

Citrix ADC 12.1-NDcPP：< 12.1-55.291

注：Citrix ADC 和 Citrix Gateway 版本 13.1 不受影响。

四、修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

Citrix ADC和Citrix Gateway 13.0-x：>= 13.0-58.32

Citrix ADC和 Citrix Gateway 12.1-x：>= 12.1-65.25

Citrix ADC 12.1-FIPS：>= 12.1-55.291

Citrix ADC 12.1-NDcPP：>= 12.1-55.291

Citrix ADC更新下载链接：

https://www.citrix.com/downloads/citrix-adc/

Citrix Gateway更新下载链接：

https://www.citrix.com/downloads/citrix-gateway/

五、参考链接

https://www.venustech.com.cn/new_type/aqtg/20221215/24936.html

https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518

https://www.citrix.com/blogs/2022/12/13/critical-security-update-now-available-for-citrix-adc-citrix-gateway/amp/