Panorama e identificação
A falha foi registrada como CVE-2025-12101 e recebeu pontuação moderada de 5.9 na métrica CVSSv4. A condição raiz é classificação sob CWE‑79: neutralização inadequada de entradas utilizadas na geração de páginas web. A exploração exige interação do usuário, mas é acessível por rede em operações que exponham as interfaces afetadas.
Escopo e versões afetadas
São afetadas versões do appliance e do gateway nas linhas principais divulgadas: NetScaler ADC e Gateway 14.1 em versões anteriores a 14.1-56.73; 13.1 em versões anteriores a 13.1-60.32; variantes FIPS e NDcPP de 13.1 antes de 13.1-37.250; e variantes FIPS/NDcPP de 12.1 anteriores a 12.1-55.333. As versões 12.1 e 13.0 foram apontadas como EOL em relação ao suporte, o que implica que instâncias nessas linhas permanecem vulneráveis sem correção disponível por ciclo de vida.
Condições de exploração
Para que a vulnerabilidade seja explorável, a appliance deve estar configurada como Gateway (ex.: virtual server VPN, ICA Proxy, CVPN ou RDP Proxy) ou como um servidor AAA virtual para autenticação. Instaladores e administradores que utilizam implementações on‑premises ou híbridas devem revisar configurações relacionadas a virtual servers de autenticação e serviços VPN expostos.
Detecção e sinais
A análise técnica disponível recomenda que administradores inspecionem a configuração por comandos que listem virtual servers de autenticação (por exemplo, padrões de comando para “add authentication vserver .*”) e verificações de componentes VPN/Gateway. Não há indicação pública de exploração ativa até o momento das informações levantadas.
Mitigação e medidas recomendadas
Fornecedores liberaram correções formais para versões suportadas; as releases recomendadas para atualização incluem 14.1-56.73 (ou superior) para a linha 14.1, 13.1-60.32 (ou superior) para 13.1, 13.1-37.250 (ou superior) para variantes FIPS/NDcPP de 13.1, e 12.1-55.333 (ou superior) para variantes FIPS/NDcPP da linha 12.1 quando aplicável. Para instâncias em linhas EOL, a orientação é migrar para versões suportadas, pois correções formais não serão aplicadas a releases EOL.
Além da aplicação de patches, recomenda‑se auditar configurações de autenticação, segmentar interfaces de gestão e acesso remoto, e reduzir a exposição de virtual servers desnecessários. Onde a atualização imediata não for possível, controles compensatórios como WAF com regras para sanitização de entradas e inspeção de payloads em páginas de autenticação podem reduzir o risco de sucesso de explorações XSS.
Impacto operacional e próximos passos
Dispositivos dessas famílias desempenham funções críticas — VPN, balanceamento de carga e autenticação — em muitas redes corporativas; portanto, a janela de tempo entre divulgação e patching deve ser minimizada em ambientes que exponham as funções afetadas. A ausência de relatos públicos de exploração não elimina o risco: vulnerabilidades com baixa barreira técnica e vetores via interação do usuário costumam atrair atores oportunistas.
Limitações das informações
As informações disponíveis descrevem a natureza técnica, requisitos de configuração e versões corrigidas, mas não incluem indicadores de comprometimento específicos nem exemplos públicos de exploração em ataques reais. Equipes de segurança devem seguir a prática padrão de detecção, correção e auditoria de configuração para reduzir risco operacional.