A Citrix alerta que a correção de vulnerabilidades recentemente divulgadas, que podem ser exploradas para burlar a autenticação e lançar ataques de denial-of-service, também pode quebrar as páginas de login nos appliances NetScaler ADC e Gateway.
Isso acontece porque, a partir do NetScaler 14.1.47.46 e 13.1.59.19, o cabeçalho de Content Security Policy (CSP), que atenua riscos associados a cross-site scripting (XSS), injeção de código e outros ataques do lado do cliente, é habilitado por padrão.
No entanto, embora seja projetado para bloquear scripts não autorizados e conteúdo externo de serem executados no navegador, a política também restringe inadvertidamente scripts legítimos ou recursos carregados pela configuração do DUO baseada em autenticação Radius, integrações, configurações personalizadas de SAML ou outras configurações de IDP que não estão em conformidade com as regras estritas do CSP.
"Há um problema relacionado à autenticação que você pode observar após atualizar o NetScaler para a build 14.1.47.46 ou 13.1.59.19," explica a empresa em um aviso que também alerta os administradores para imediatamente corrigirem suas appliances contra duas vulnerabilidades críticas de segurança.
Isso pode se manifestar como uma página de login 'quebrada', especialmente ao usar métodos de autenticação como configurações do DUO baseadas em autenticação Radius, SAML ou qualquer Provedor de Identidade (IDP) que dependa de scripts personalizados.
Esse comportamento pode ser atribuído ao cabeçalho de Content Security Policy (CSP) sendo habilitado por padrão nesta build do NetScaler, especialmente quando o CSP não estava habilitado antes da atualização.
A primeira das duas falhas de segurança (rastreada como
CVE-2025-5777
e apelidada de Citrix Bleed 2) permite que atores de ameaças burlam a autenticação sequestrando sessões de usuário, enquanto a segunda (
CVE-2025-6543
) está agora sendo ativamente explorada em ataques de denial-of-service.
Para abordar temporariamente este problema conhecido, a Citrix recomenda que os administradores desabilitem o cabeçalho CSP padrão nos appliances NetScaler afetados (via interface do usuário ou linha de comando) e limpem o cache para garantir que as alterações entrem em vigor imediatamente.
Após desabilitar o cabeçalho CSP, também é aconselhado que os administradores acessem o portal de autenticação do NetScaler Gateway para verificar se o problema foi resolvido.
"Se o problema persistir após seguir estes passos, por favor, entre em contato com o Suporte da Citrix para obter mais assistência. Forneça-lhes detalhes da sua configuração e as etapas que você já tomou," a empresa adiciona em um aviso separado emitido na segunda-feira.
"Por favor, entre em contato com a equipe de suporte para que possamos identificar o problema com o CSP e corrigi-lo para a sua configuração."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...