CVSS: 6.8EPSS: 0%CPEs: 1EXPL: 2CVE-2016-9111 – Citrix Receiver/Receiver Desktop Lock 4.5 - Authentication Bypass
https://notcve.org/view.php?id=CVE-2016-9111
Incorrect access control mechanisms in Citrix Receiver Desktop Lock 4.5 allow an attacker to bypass the authentication requirement by leveraging physical access to a VDI for temporary disconnection of a LAN cable. NOTE: as of 20161208, the vendor could not reproduce the issue, stating "the researcher was unable to provide us with information that would allow us to confirm the behaviour and, despite extensive investigation on test deployments of supported products, we were unable to reproduce the behaviour as he described. The researcher has also, despite additional requests for information, ceased to respond to us." Acceso incorrecto a los mecanismos de control en Citrix Receiver Desktop Lock 4.5 permiten a un atacante eludir el requerimiento de autenticación aprovechando acceso físico a un VDI para una desconexión temporal de un cable LAN. NOTA: a partir del 08/12/2016, el fabricante no puede reproducir el problema, afirmando "el investigador no ha sido capaz de darnos información que nos permita confirmar el comportamiento y, a pesar de una extensa investigación en implementaciones de prueba de productos compatibles, no hemos sido capaces de reproducir el comportamiento como fue descrito. • https://www.exploit-db.com/exploits/40686 http://www.securityfocus.com/bid/94229 http://www.securitytracker.com/id/1037176 https://packetstormsecurity.com/files/139493/Citrix-Receiver-Receiver-Desktop-Lock-4.5-Authentication-Bypass.html https://vuldb.com/?id.93250 • CWE-254: 7PK - Security Features CWE-284: Improper Access Control •
CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 0CVE-2016-9028
https://notcve.org/view.php?id=CVE-2016-9028
Unauthorized redirect vulnerability in Citrix NetScaler ADC before 10.1 135.8, 10.5 61.11, 11.0 65.31/65.35F and 11.1 47.14 allows a remote attacker to steal session cookies of a legitimate AAA user via manipulation of Host header. Vulnerabilidad de redirección no autorizada en Citrix NetScaler ADC en versiones anteriores a 10.1 135.8, 10.5 61.11, 11.0 65.31/65.35F y 11.1 47.14 permite a un atacante remoto robar las cookies de sesión de un usuario legítimo AAA a través de manipulación del cabecero del Host. • http://www.securityfocus.com/bid/93947 http://www.securitytracker.com/id/1037175 https://support.citrix.com/article/CTX218361 • CWE-254: 7PK - Security Features •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2016-6273
https://notcve.org/view.php?id=CVE-2016-6273
The lmadmin component in Flexera FlexNet Publisher (aka Flex License Manager) before 2015 SP5 and 2016 before R1 SP1, as used by Citrix License Server for Windows before 11.14.0.1 and Citrix License Server VPX before 11.14.0.1, allows remote attackers to cause a denial of service (crash) via a type 2F packet with a '01 19' opcode. El componente lmadmin en Flexera FlexNet Publisher (también conocido como Flex License Manager) en versiones anteriores a 2015 SP5 y 2016 en versiones anteriores a R1 SP1, como se usa por Citrix License Server para Windows en versiones anteriores a 11.14.0.1 y Citrix License Server VPX en versiones anteriores a 11.14.0.1, permite a atacantes remotos provocar una denegación de servicio (caída) a través de un paquete tipo 2F con un código de operación '01 19'. • http://support.citrix.com/article/CTX217430 http://www.securityfocus.com/bid/93450 http://www.securitytracker.com/id/1037008 https://www.tenable.com/security/research/tra-2016-29 •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2016-6276
https://notcve.org/view.php?id=CVE-2016-6276
Citrix Linux Virtual Delivery Agent (aka VDA, formerly Linux Virtual Desktop) before 1.4.0 allows local users to gain root privileges via unspecified vectors. Citrix Linux Virtual Delivery Agent (también conocido como VDA, anteriormente Linux Virtual Desktop) en versiones anteriores a 1.4.0 permite a usuarios locales obtener privilegios root a través de vectores no especificados. • http://support.citrix.com/article/CTX216628 http://www.securityfocus.com/bid/93000 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 9.8EPSS: 0%CPEs: 9EXPL: 0CVE-2016-6493
https://notcve.org/view.php?id=CVE-2016-6493
Citrix XenApp 6.x before 6.5 HRP07 and 7.x before 7.9 and Citrix XenDesktop before 7.9 might allow attackers to weaken an unspecified security mitigation via vectors related to memory permission. Citrix XenApp 6.x en versiones anteriores a 6.5 HRP07 y 7.x en versiones anteriores a 7.9 y Citrix XenDesktop en versiones anteriores a 7.9 podría permitir a atacantes debilitar una mitigación de seguridad no especificada a través de vectores relacionados con permiso de memoria. • http://support.citrix.com/article/CTX215460 http://www.securityfocus.com/bid/92316 http://www.securitytracker.com/id/1036539 • CWE-254: 7PK - Security Features •