PT-2020-11934 · Citrix · Citrix Gateway+1
Micha Borrmann
·
Publicado
2020-03-06
·
Atualizado
2024-08-04
·
CVE-2020-10112
CVSS v2.0
5.8
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões 11.1 a 12.1 do Citrix Gateway
Descrição
A vulnerabilidade permite o ataque de envenenamento de cache. Por padrão, o Citrix ADC armazena em cache apenas conteúdo estático servido em determinados caminhos de URL para uso do Citrix Gateway. Nenhum conteúdo dinâmico é servido nesses caminhos, o que implica que essas páginas armazenadas em cache não se alterariam com base nos valores dos parâmetros. Todo o restante tráfego de dados que passa pelo Citrix Gateway NÃO é armazenado em cache por padrão. A Citrix contesta que isso não seja uma vulnerabilidade.
Recomendações
Para as versões 11.1 a 12.1 do Citrix Gateway, considere desativar o recurso de armazenamento em cache para conteúdo estático servido em determinados caminhos de URL como uma solução temporária até que uma correção esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Citrix Adc
Citrix Gateway