在适用于 Windows 的 Citrix Workspace 应用程序中发现了两个高严重性漏洞CVE-2024-7889 和 CVE-2024-7890。
这些漏洞影响当前版本的 2405 之前的版本以及 LTSR 的 2402 CU1 之前的版本。
Citrix 建议客户立即更新其安装,以减轻使用 Citrix Workspace 环境的用户和组织的重大安全风险。
受影响的版本
这些漏洞影响适用于 Windows 的 Citrix Workspace 应用程序的以下受支持版本。
-
当前版本 (CR):适用于 Windows 版本 2405 之前的 Citrix Workspace 应用程序
-
长期服务版本 (LTSR):适用于 2402 LTSR CU1 之前的 Windows 版本的 Citrix Workspace 应用程序
| CVE-ID | 描述 | 前提条件 | CWE | CVSS |
| CVE-2024-7889 | 本地权限提升允许低权限用户获得 SYSTEM 权限 | 对目标系统的本地访问 | CWE-664:资源在其生命周期内的不当控制 | CVSS v4.0 基本分数:7.0CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:不适用/SA:不适用 |
| CVE-2024-7890 | 本地权限提升允许低权限用户获得 SYSTEM 权限 | 对目标系统的本地访问 | CWE-269:权限管理不当 | CVSS v4.0 基本分数:5.4CVSS:4.0/AV:L/AC:H/AT:P/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:不适用/SA:不适用 |
CVE-2024-7889:描述了一个本地权限提升漏洞,该漏洞允许低权限用户获取系统权限。
需要对目标系统进行本地访问。
此漏洞被归类为CWE-664(资源管理不当)。
CVSS v4.0评分为 7.0,表明严重性较高。
CVE-2024-7890:另一个本地权限提升漏洞,但需要更复杂的条件。
分类为CWE-269(不当权限管理)。
CVSS v4.0为 5.4,表明与 CVE-2024-7889 相比风险中等。
需要做什么
Citrix 强烈建议客户尽快将其适用于 Windows 的 Citrix Workspace 应用程序更新到包含修复程序的版本。
包含修复程序的适用于 Windows 的 Citrix Workspace 应用程序版本包括:
-
当前版本 (CR):适用于 Windows 2405 及更高版本的 Citrix Workspace 应用程序
-
长期服务版本 (LTSR):适用于 Windows 2402 CU1 LTSR 及更高版本的 Citrix Workspace 应用程序
Citrix 通过在 Citrix 知识中心发布此安全公告来通知其客户和渠道合作伙伴此漏洞,链接如下:https://support.citrix.com/securitybulletins。
