CVE-2025-7775

🔍 Contexte Article publié le 16 avril 2026 par Picus Security, analysant en détail deux nouvelles vulnérabilités affectant Citrix NetScaler ADC et NetScaler Gateway, surnommées collectivement « CitrixBleed 3 » par la communauté sécurité. 🚨 Vulnérabilités identifiées CVE-2026-3055 (CVSS v4.0 : 9.3 — Critique) est une lecture hors limites (CWE-125) non authentifiée affectant les appliances configurées en tant que SAML Identity Provider. Elle expose via le cookie NSC_TASS des données mémoire encodées en base64 incluant tokens de session, assertions SAML et credentials LDAP. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 Légende : CVSS : Score de sévérité officielle. EPSS : Probabilité d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sévérité estimée (IA). Poids social : Importance dans le Fediverse. CVE-2025-9242 [CVSS 9.3 🟥] [VLAI Critical 🟥] Produit : WatchGuard Fireware OS Score CVSS : 9.3 🟥 EPSS : 0.73453 🟧 VLAI : Critical 🟥 Poids social (Fediverse) : 312.0 Description : Une vulnérabilité d’écriture hors limites dans WatchGuard Fireware OS peut permettre à un attaquant distant non authentifié d’exécuter du code arbitraire. Cette vulnérabilité affecte à la fois le VPN Mobile User avec IKEv2 et le VPN Branch Office utilisant IKEv2 lorsqu’ils sont configurés avec un pair de passerelle dynamique. Cette vulnérabilité affecte Fireware OS de la version 11.10.2 jusqu’à et y compris la 11.12.4_Update1, ainsi que les versions 12.0 jusqu’à et y compris la 12.11.3 et la 2025.1. Date de publication officielle : 17 September 2025 à 07h29 Posts Fediverse (3 trouvés) 🗨️ geeknik – n/d 1996 called—it wants its stack overflow back.2025 firewall, pre-auth RCE via IKEv2, no canaries, no PIE, leaks its version in base64 like a name tag.“First line of defense” popping RIP to DEADBEEF. 🔥 yIKEs.https://labs.watchtowr.com/yikes-watchguard-fireware-os-ikev2-out-of-bounds-write-cve-2025-9242/ ...

Selon blog.checkpoint.com (Amit Weigman, Office of the CTO, 2 septembre 2025), des chercheurs analysent Hexstrike‑AI, un framework d’orchestration IA pensé pour le « red teaming » et la recherche, mais rapidement détourné par des acteurs malveillants pour viser des zero‑days Citrix NetScaler révélés le 26/08. ⚠️ Le billet explique que Hexstrike‑AI fournit un « cerveau » d’orchestration reliant des LLM (Claude, GPT, Copilot) à plus de 150 outils de sécurité. Au cœur du système, un serveur FastMCP et des MCP Agents exposent les outils sous forme de fonctions appelables, permettant aux agents IA d’exécuter de manière autonome des tâches comme la découverte, l’exploitation, la persistence et l’exfiltration. Des fonctions standardisées (ex. nmap_scan) et un mécanisme de traduction d’intention en exécution (ex. execute_command) automatisent l’enchaînement des actions, avec retries et reprise pour la résilience. 🤖 ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 Légende : CVSS : Score de sévérité officielle. EPSS : Probabilité d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sévérité estimée (IA). Poids social : Importance dans le Fediverse. CVE-2025-6543 [CVSS 9.2 🟥] [VLAI Critical 🟥] Produit : NetScaler ADC Score CVSS : 9.2 🟥 EPSS : 0.03705 🟩 VLAI : Critical 🟥 Poids social (Fediverse) : 2593.0 Description : Vulnérabilité de dépassement de mémoire entraînant un contrôle d’exécution non intentionnel et un déni de service dans NetScaler ADC et NetScaler Gateway lorsqu’ils sont configurés en tant que passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) OU serveur virtuel AAA. Date de publication officielle : 25 juin 2025 à 12h49 Posts Fediverse (3 trouvés) 🗨️ Kevin Beaumont – n/d The NCSC have published an advisory on CVE-2025-7775 (CitrixDeelb), saying it is highly likely it will be mass exploited:https://advisories.ncsc.nl/2025/ncsc-2025-0268.htmlThey’ve also published a script to check for post exploitation, i.e. backdoor access which persists post patching: https://github.com/NCSC-NL/citrix-2025/blob/main/live-host-bash-check/TLPCLEAR_check_script_cve-2025-6543-v1.8.sh ...

Selon GBHackers Security, la CISA a publié une alerte urgente après avoir détecté l’exploitation active d’une vulnérabilité critique de type exécution de code à distance (RCE) touchant les appareils Citrix NetScaler. Identifiant: CVE‑2025‑7775 Nature de la faille: dépassement de mémoire (memory overflow) dans le sous-système de gestion du trafic de NetScaler Statut: 0‑day activement exploité et ajouté récemment au catalogue Known Exploited Vulnerabilities (KEV) de la CISA Impact et portée: la vulnérabilité permet potentiellement une exécution de code à distance sur les appareils concernés, indiquant une menace immédiate en raison de l’exploitation en cours. ...

Selon BleepingComputer, Citrix a corrigé trois vulnérabilités affectant NetScaler ADC et NetScaler Gateway, dont une faille critique d’exécution de code à distance (RCE), CVE-2025-7775, qui a été activement exploitée en zero-day. Produits concernés : NetScaler ADC, NetScaler Gateway Nombre de failles : 3 Vulnérabilité clé : CVE-2025-7775 (RCE critique) Statut d’exploitation : zero-day activement exploitée Mesure annoncée : correctifs publiés par Citrix Cette annonce met l’accent sur la correction rapide d’une vulnérabilité critique utilisée dans des attaques réelles, soulignant l’importance des mises à jour publiées pour les environnements utilisant NetScaler. 🔧⚠️ ...

Plus de 28 200 instances Citrix dans le monde sont aujourd’hui vulnérables à une faille critique de type exécution de code à distance (RCE), identifiée sous le code CVE-2025-7775. Cette vulnérabilité touche NetScaler ADC et NetScaler Gateway et a déjà été exploitée comme un zero-day, avant même la publication du correctif. Les versions affectées incluent 14.1 avant 14.1-47.48, 13.1 avant 13.1-59.22, 13.1-FIPS/NDcPP avant 13.1-37.241 et 12.1-FIPS/NDcPP jusqu’à 12.1-55.330. Citrix précise qu’aucune mesure de mitigation ou de contournement n’existe : les administrateurs doivent mettre à jour immédiatement vers une version corrigée. ...