CitrixがWindows VDAの権限昇格脆弱性(CVE-2025-6759)

セキュリティニュース

投稿日時: 更新日時:

CitrixがWindows VDAの権限昇格脆弱性(CVE-2025-6759)

2025年7月9日、Citrix社は、同社の仮想デスクトップ環境(CVADおよびCitrix DaaS)に含まれるWindows Virtual Delivery Agent(VDA)に関して、深刻なローカル権限昇格の脆弱性(CVE-2025-6759)を公表しました。

脆弱性の対象バージョン

【Current Release(CR)版】

  • Citrix Virtual Apps and Desktops
     → バージョン 2503 未満のすべてのバージョン

【Long Term Service Release(LTSR)版】

  • Citrix Virtual Apps and Desktops 2402 LTSR
     → CU2(累積更新プログラム2)およびそれ以前のすべてのバージョン

パッチリリースバージョン

  • Current Release(CR)版利用者
     → バージョン2503以降へのアップグレード

  • LTSR(長期サポート)版利用者

    • 2402 CU1利用者:Update 1(CTX694848)を適用

    • 2402 CU2利用者:Update 1(CTX694849)を適用

脆弱性の概要

CVE-2025-6759は、Citrix Virtual Apps and Desktops(CVAD)およびCitrix DaaS環境で利用されるWindows Virtual Delivery Agent(VDA)の単一セッションOS構成に存在するローカル権限昇格の脆弱性です。

この脆弱性が悪用された場合、通常の権限しか持たないローカルユーザーが、Windowsの最上位権限である「SYSTEM」権限を取得できる可能性があります。これにより、攻撃者はセキュリティ制御の回避や、マルウェアの永続化、システム情報の窃取といった深刻な被害を引き起こすリスクがあります。

なお、この脆弱性の悪用にはローカルアクセスが必要とされるため、インターネット経由のリモート攻撃には該当しませんが、社内ネットワーク内での内部不正や、他の脆弱性と組み合わせた攻撃においては極めて危険です。