Citrix heeft dinsdag beveiligingsupdates uitgebracht om meerdere fouten in NetScaler ADC (voorheen Citrix ADC) en NetScaler Gateway (voorheen Citrix Gateway) op te lossen die door een aanvaller kunnen worden misbruikt om het willekeurig lezen van bestanden te vergemakkelijken of een Denial-of-Service (DoS)-toestand te activeren.
De kwetsbaarheden worden hieronder vermeld:
- CVE-2026-8451 (CVSS-score: 8,8) – Een kwetsbaarheid bij onvoldoende invoervalidatie die leidt tot geheugenoverlezen wanneer NetScaler ADC of NetScaler Gateway is geconfigureerd als een SAML IDP
- CVE-2026-8452 (CVSS-score: 8,8) – Een kwetsbaarheid voor geheugenoverloop die leidt tot onvoorspelbaar of foutief gedrag en denial-of-service wanneer het apparaat is geconfigureerd als een gateway of een virtuele AAA-server
- CVE-2026-8655 (CVSS-score: 8,8) – Meerdere kwetsbaarheden voor geheugenoverloop die leiden tot onvoorspelbaar of foutief gedrag en denial-of-service wanneer NetScaler ADC is geconfigureerd als een LB van het type Oracle, een DNS-proxy of een implementatie van een DNS-recursieve oplossing
- CVE-2026-10816 (CVSS-score: 7,7) – Een externe controle van de bestandsnaam van de padkwetsbaarheid die leidt tot niet-geverifieerde, willekeurige bestandslezen wanneer toegang tot NSIP, Cluster Management IP of SNIP met beheertoegang is ingeschakeld
- CVE-2026-10817 (CVSS-score: 6,9) – Een kwetsbaarheid bij onvoldoende invoervalidatie die leidt tot geheugenoverlezen wanneer TCP TimeStamp is ingeschakeld in het TCP-profiel en is gekoppeld aan de virtuele server (van het type LB, CS, VPN) of de service die is geconfigureerd op NetScaler
- CVE-2026-13474 (CVSS-score: 8,7) – Een ontbrekende release van geheugen na een effectieve levenslange kwetsbaarheid die leidt tot denial-of-service via verkeerd opgemaakte HTTP/2-verzoeken wanneer HTTP/2 is ingeschakeld in het HTTP-profiel en is gekoppeld aan de virtuele server (van het type LB, CS, VPN) of de service die is geconfigureerd op NetScaler
Patches voor de beveiligingsfouten zijn uitgebracht in de volgende versies:
- NetScaler ADC en NetScaler Gateway 14.1-72.61 en latere releases
- NetScaler ADC en NetScaler Gateway 13.1-63.18 en latere versies van 13.1
- NetScaler ADC 14.1-FIPS 14.1-72.61 FIPS en latere versies van 14.1-FIPS
- NetScaler ADC 13.1-FIPS en 13.1-NDcPP 13.1.37.272 en latere versies van 13.1-FIPS en 13.1-NDcPP
Wat CVE-2026-13474 betreft, wordt klanten ook geadviseerd om hun configuraties bij te werken door de parameter Http2SmallWndTimeout te wijzigen, die de time-out (in seconden) regelt voor vastgelopen HTTP/2-streams met kleine vensters –
- Voor apparaten die HTTP Strict Profiles gebruiken, is deze parameter standaard ingesteld op 30 seconden. De oplossing wordt onmiddellijk na de upgrade van kracht.
- Voor apparaten die GEEN HTTP Strict Profiles gebruiken, is de standaardwaarde 0. In dit geval zal alleen een upgrade naar de builds die de oplossing bevatten de kwetsbaarheid niet volledig oplossen. Klanten moeten Http2SmallWndTimeout handmatig instellen op 30 seconden.
Het commando om deze parameter in te stellen staat hieronder:
set ns httpProfile-http2SmallWndTimeout
Cisco heeft Michael Tucker van het XOR-team van JPMorgan Chase, Aliz Hammond van watchTowr en Maxim Suhanov de eer gegeven voor het melden van de kwetsbaarheden. Er is geen bewijs dat de problemen in het wild zijn uitgebuit.
watchTowr Labs zei in een technisch artikel dat samen met het bulletin van Citrix werd uitgebracht, dat CVE-2026-8451 eind maart 2026 werd ontdekt en gerapporteerd na pogingen om CVE-2026-3055 (CVSS-score: 9,3) te reproduceren, een afzonderlijke tekortkoming in de invoervalidatie die eerder dit jaar werd onthuld.
Het cyberbeveiligingsbedrijf zegt dat de kwetsbaarheid voortkomt uit de manier waarop NetScaler SAML-authenticatieverzoeken parseert en dezelfde hoofdoorzaak deelt als de fout van maart 2026, wat resulteert in geheugenlezingen die buiten de grenzen vallen bij het verzenden van verkeerd opgemaakte SAML-verzoeken.
“Eén ding willen we graag opmerken: in tegenstelling tot de originele CVE-2026-3055, waarin kilobytes aan binaire gegevens kunnen lekken, zal dit overlezen het lezen van buiten de grenzen beëindigen wanneer verschillende controletekens worden gelezen, zoals NULL (of zelfs >)”, aldus beveiligingsonderzoeker Hammond. “In de praktijk ontdekten we dat we, door de verzoeklengte te variëren, consequent een paar bytes uit de server konden persen.”
“Waar het echter om gaat is het grotere geheel: de trend, die heel duidelijk suggereert dat geheugenbeheer kwetsbaar blijft binnen Citrix NetScaler-appliances, in die mate dat zelfs het per ongeluk verkeerd configureren van een apparaat kan leiden tot het vrijgeven van gelekt geheugen.”
De afgelopen jaren zijn Citrix-apparaten een lucratief aanvalsdoel geweest, waarbij meerdere fouten in de software in het verleden door bedreigingsactoren zijn uitgebuit voor de implementatie van ransomware, waardoor het van cruciaal belang is dat gebruikers de patches toepassen voor optimale bescherming.
CVE-2026-8451 wordt uitgebuit
Lupovis heeft bekendgemaakt dat er sprake is van actieve exploitatie van CVE-2026-8451, minder dan 24 uur na de openbaarmaking.
In een reeks berichten op X zei het dreigingsinformatiebedrijf dat het op 30 juni een IP-adres afkomstig uit Frankfurt (“146.70.139(.)154”) had waargenomen dat zich op zijn sensoren richtte gedurende een tijdsbestek van vijf uur, waarbij de exploit werd stopgezet op sensoren die het 200 OK-statusbericht retourneerden en de sensoren die een 404 HTTP-antwoord retourneerden, oversloegen.
“Wat vooral interessant is, is de targetinglogica die we zien”, zegt Xavier Bellekens, CEO en medeoprichter van Lupovis, in een verklaring gedeeld met The Hacker News. “Aanvallers lijken eerst doelen te valideren en leveren pas de volledige lading wanneer de verwachte reactie wordt verkregen. Dit duidt op actieve exploitatie in plaats van generiek scannen.”
De payload komt overeen met de exploit die is vrijgegeven door watchTowr Labs, voegde Lupovis eraan toe, wat waarschijnlijk duidt op een poging om het verkeerd opgemaakte SAML-verzoek te repliceren om een succesvol compromis te bereiken. De snelheid van de exploitatieactiviteiten maakt het van cruciaal belang dat organisaties de oplossingen zo snel mogelijk toepassen.
(Het verhaal is na publicatie op 2 juli 2026 bijgewerkt met details over actieve exploitatie van de Citrix-fout.)