在适用于 Windows 的 Citrix Workspace 应用程序中发现了两个高严重性漏洞CVE-2024-7889 和 CVE-2024-7890。

这些漏洞影响当前版本的 2405 之前的版本以及 LTSR 的 2402 CU1 之前的版本。

Citrix 建议客户立即更新其安装，以减轻使用 Citrix Workspace 环境的用户和组织的重大安全风险。

受影响的版本

这些漏洞影响适用于 Windows 的 Citrix Workspace 应用程序的以下受支持版本。

• 当前版本 (CR)：适用于 Windows 版本 2405 之前的 Citrix Workspace 应用程序

• 长期服务版本 (LTSR)：适用于 2402 LTSR CU1 之前的 Windows 版本的 Citrix Workspace 应用程序

  

CVE-ID	描述	前提条件	CWE	CVSS
CVE-2024-7889	本地权限提升允许低权限用户获得 SYSTEM 权限	对目标系统的本地访问	CWE-664：资源在其生命周期内的不当控制	CVSS v4.0 基本分数：7.0CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:不适用/SA：不适用
CVE-2024-7890	本地权限提升允许低权限用户获得 SYSTEM 权限	对目标系统的本地访问	CWE-269：权限管理不当	CVSS v4.0 基本分数：5.4CVSS:4.0/AV:L/AC:H/AT:P/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:不适用/SA：不适用

CVE-2024-7889：描述了一个本地权限提升漏洞，该漏洞允许低权限用户获取系统权限。

需要对目标系统进行本地访问。

此漏洞被归类为CWE-664（资源管理不当）。

CVSS v4.0评分为 7.0，表明严重性较高。

CVE-2024-7890：另一个本地权限提升漏洞，但需要更复杂的条件。

分类为CWE-269（不当权限管理）。

CVSS v4.0为 5.4，表明与 CVE-2024-7889 相比风险中等。

需要做什么

Citrix 强烈建议客户尽快将其适用于 Windows 的 Citrix Workspace 应用程序更新到包含修复程序的版本。

包含修复程序的适用于 Windows 的 Citrix Workspace 应用程序版本包括： 

• 当前版本 (CR)：适用于 Windows 2405 及更高版本的 Citrix Workspace 应用程序 

• 长期服务版本 (LTSR)：适用于 Windows 2402 CU1 LTSR 及更高版本的 Citrix Workspace 应用程序 

Citrix 通过在 Citrix 知识中心发布此安全公告来通知其客户和渠道合作伙伴此漏洞，链接如下：https://support.citrix.com/securitybulletins。