Citrix Systems Gateway、Citrix Application Delivery Controller（ADC）和Citrix System SDWAN WAN-OP都是美国思杰系统（Citrix Systems）公司的产品。Citrix Application Delivery Controller是一款应用交付控制器，该产品具有应用交付控制和负载均衡等功能。Citrix Systems Gateway（Citrix Systems NetScaler Gateway）是一套安全的远程接入解决方案，该方案可为管理员提供应用级和数据级管控功能，以实现用户从任何地点远程访问应用和数据。Citrix System SDWAN WAN-OP是一款SD-WAN（虚拟软件定义的广域网）设备。

1. 漏洞概述

漏洞简述：

Citrix Systems Citrix ADC、Citrix Gateway和Citrix SDWAN WAN-OP中存在跨站脚本漏洞（CVE-2020-8191、CVE-2020-8198）。该漏洞源于WEB应用缺少对客户端数据的正确验证。未经身份验证的远程攻击者可以利用此点，诱使用户单击特制URL，在用户的浏览器会话中执行任意脚本代码。

Citrix Systems Citrix ADC、Citrix Gateway和Citrix SDWAN WAN-OP中存在一个授权绕过漏洞（CVE-2020-8193）。有权访问 NSIP/management interface 的未经身份验证的远程攻击者可以利用此漏洞绕过授权。

Citrix Systems Citrix ADC、Citrix Gateway和Citrix SDWAN WAN-OP中存在代码注入漏洞（CVE-2020-8194）。该漏洞源于外部输入数据构造代码段的过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段，修改网络系统或组件的预期的执行控制流。

Citrix Systems Citrix ADC、Citrix Gateway和Citrix SDWAN WAN-OP中存在信息泄露漏洞（CVE-2020-8195、CVE-2020-8196）。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。

2.漏洞基本信息

漏洞名称	多款Citrix Systems产品跨站脚本漏洞
CVE编号	CVE-2020-8191、CVE-2020-8198
产生原因	WEB应用缺少对客户端数据的正确验证
影响范围	10.5.x < 10.5.70.18 11.1.x < 11.1.64.14 12.0.x < 12.0.63.21 12.1.x < 12.1.57.18 13.0.x < 13.0.58.30
分类	跨站脚本漏洞

漏洞名称	多款Citrix Systems产品授权绕过漏洞
CVE编号	CVE-2020-8193
产生原因	在开发时遗漏了对权限的判定
影响范围	10.5.x < 10.5.70.18 11.1.x < 11.1.64.14 12.0.x < 12.0.63.21 12.1.x < 12.1.57.18 13.0.x < 13.0.58.30
分类	其他

漏洞名称	多款Citrix Systems产品代码注入漏洞
CVE编号	CVE-2020-8194
产生原因	网络系统或产品未正确过滤传入数据中的特殊元素
影响范围	10.5.x < 10.5.70.18 11.1.x < 11.1.64.14 12.0.x < 12.0.63.21 12.1.x < 12.1.57.18 13.0.x < 13.0.58.30
分类	代码注入漏洞

漏洞名称	多款Citrix Systems产品代码注入漏洞
CVE编号	CVE-2020-8195、CVE-2020-8196
产生原因	网络系统或产品在运行过程中存在配置等错误
影响范围	10.5.x < 10.5.70.18 11.1.x < 11.1.64.14 12.0.x < 12.0.63.21 12.1.x < 12.1.57.18 13.0.x < 13.0.58.30
分类	信息泄露漏洞

3.漏洞等级

风险评级：高危

4.修复建议

目前厂商已修复该漏洞，请受影响设备及时升级到以下版本，可修复漏洞：

10.5.x >= 10.5.70.18

11.1.x >= 11.1.64.14

12.0.x >= 12.0.63.21

12.1.x >= 12.1.57.18

13.0.x >= 13.0.58.30

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://support.citrix.com/article/CTX276688