Vulnerabilidades de Seguridad en XenServer y Citrix Virtual Apps/Desktops

Resumen ejecutivo

Se han identificado 2 vulnerabilidades de gravedad media en algunos procesadores AMD que, si se explotan, podrían permitir la filtración de información sensible y privilegiada al inferir datos de la caché L1D y de almacenamientos anteriores. Ambas amenazas requieren de una planificación cuidadosa para su mitigación. Por otro lado, existe una vulnerabilidad en Windows Virtual Delivery Agent para CVAD y Citrix DaaS que permitiría a un individuo con bajos privilegios obtener privilegios SYSTEM, lo cual representa una amenaza significativa.

Recursos afectados

• CPUs AMD (no se mencionan versiones específicas)
• XenServer 8.4
• Windows Virtual Delivery Agent for single-session OS used by Citrix Virtual Apps and Desktops (versiones anteriores a 2503)
• Citrix Virtual Apps and Desktops 2402 LTSR CU2 y versiones anteriores de 2402 LTSR
• Virtual Delivery Agent for Windows used by Citrix Virtual Apps and Desktops y Citrix DaaS (afectado por CVE-2025-6759)
• Citrix Virtual Apps and Desktops 2503 y versiones posteriores (versiones post-corrección)
• Citrix Virtual Apps and Desktops 2402 LTSR CU1 Update 1 y CU2 Update 1, versiones acumulativas posteriores (versiones post-corrección)

Análisis técnico

• CVE-2025-6759: La escalada de privilegios local permite a un usuario con bajos privilegios obtener privilegios SYSTEM en Windows Virtual Delivery Agent para CVAD y Citrix DaaS.
  • CWE-269
  • CVSS: 7.4 (alta)
  • Vector CVSS: CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H
  • Explotación: No detectada

• CVE-2024-36357: Una vulnerabilidad de ejecución transitoria en algunos procesadores AMD puede permitir a un atacante inferir datos en la caché L1D, lo que podría resultar en la filtración de información sensible a través de límites privilegiados.
  • CWE N/A
  • CVSS: 5.6 (media)
  • Vector CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N
  • Explotación: No detectada

• CVE-2024-36350: Una vulnerabilidad de ejecución transitoria en algunos procesadores AMD puede permitir a un atacante inferir datos de almacenamientos anteriores, lo que podría resultar en la filtración de información privilegiada.
  • CWE N/A
  • CVSS: 5.6 (media)
  • Vector CVSS: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N
  • Explotación: No detectada

Mitigación / Solución

Para resolver los problemas de seguridad descritos como CVE-2024-36350 y CVE-2024-36357 que afectan al XenServer 8.4, el fabricante recomienda actualizar a la última versión a través de los canales de Actualización Temprana y Normal, siguiendo las instrucciones en: https://docs.xenserver.com/en-us/xenserver/8/update.

Para la vulnerabilidad CVE-2025-6759 que afecta al Agent de Entrega Virtual para Windows utilizado por Citrix Virtual Apps y Desktops y Citrix DaaS, se recomienda que los clientes actualicen su versión precedente a las que contienen las correcciones necesarias. Los números de versión de estas actualizaciones son: Citrix Virtual Apps y Desktops 2503 o posterior, y las actualizaciones para Citrix Virtual Apps y Desktops 2402 LTSR CU1 y CU2, las cuales pueden obtenerse en los siguientes enlaces:

• https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694848
• https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694849

Si no pueden aplicar las actualizaciones inmediatamente, pueden utilizar una solución temporal modificando una entrada en el registro del sistema como se detalla en el contenido.

Referencias adicionales

• Aviso de seguridad - Citrix