Se han revelado oficialmente dos vulnerabilidades de CitrixBleed.

Se ha detectado una vulnerabilidad crítica en las instancias de Citrix NetScaler ADC y Gateway, que puede permitir a los atacantes secuestrar sesiones de usuario y acceder a entornos específicos. Este fallo, conocido como CVE-2025-5777, se origina de una validación insuficiente de la entrada, lo que provoca una sobrelectura de memoria cuando el dispositivo NetScaler se configura como un Gateway (servidor VPN virtual, ICA Proxy, CVPN, RDP Proxy) o como un servidor virtual AAA. Este problema ha recibido una puntuación de severidad de 9.3 sobre 10, clasificada como crítica.

Las versiones afectadas son Citrix NetScaler ADC y Gateway en 14.1 y anteriores a 47.46, así como 13.1 y anteriores a 59.19. Investigadores de seguridad han señalado que esta vulnerabilidad ya está siendo aprovechada por hackers para obtener acceso inicial a sistemas objetivo. A diferencia de las cookies de sesión, que suelen estar conectadas a sesiones de navegador de corta duración, los tokens de sesión son comúnmente usados en marcos de autenticación más amplios, como llamadas a API o sesiones persistentes de aplicaciones.

Citrix no solo ha confirmado públicamente la existencia del fallo, sino que también ha proporcionado una solución y recomienda a los usuarios que la implementen lo más pronto posible. El analista independiente Kevin Beaumont ha observado similitudes entre esta vulnerabilidad y "CitrixBleed", una de las fallas más graves descubiertas en los últimos años, que también fue ampliamente explotada a finales de 2023, afectando a agencias gubernamentales, bancos y proveedores de salud, con el grupo de ransomware LockBit entre sus más notorios abusadores. Debido a estas similitudes, Beaumont ha denominado a la nueva falla como “CitrixBleed 2”.

Adicionalmente, Citrix ha informado sobre dos vulnerabilidades más: un problema de control de acceso de alta severidad, con una puntuación de 8.7, y una vulnerabilidad de desbordamiento de memoria. Esta última, identificada como CVE-2025-6543, tiene una severidad de 9.2 y puede causar un flujo de control no intencionado y Denegación de Servicio en NetScaler ADC y Gateway cuando están configurados como Gateway.