CitrixBleed en versión reducida: NetScaler vuelve a filtrar datos internos a cualquiera

CitrixBleed en versión reducida: NetScaler vuelve a filtrar datos internos a cualquiera

Un viejo esquema regresó con nueva envoltura y otra vez dejó descolocada a la defensa.

image

Se ha encontrado nuevamente una vulnerabilidad en puertas de enlace de red en el manejo de la memoria, y en esta ocasión el error permitía obtener datos de forma remota incluso antes de iniciar sesión. Citrix reveló la vulnerabilidad CVE-2026-8451 en NetScaler ADC y NetScaler Gateway, que los especialistas de watchTowr descubrieron en marzo de 2026.

El problema, con una puntuación de 7.5 en la escala CVSS 3.1 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N), afectaba a dispositivos configurados como servidor SAML para inicio de sesión único. NetScaler analizaba incorrectamente solicitudes XML especialmente manipuladas y continuaba leyendo después del final del valor proporcionado. El servidor capturaba regiones contiguas de memoria y las devolvía al atacante en el parámetro de servicio NSC_TASS.

Durante pruebas de laboratorio, los expertos de WatchTowr Labs obtuvieron varios bytes de datos arbitrarios de la memoria del proceso. El volumen de la filtración fue menor que el de algunos errores anteriores de la familia CitrixBleed, ya que la lectura se interrumpía por caracteres de control. Los especialistas también observaron un valor similar a un puntero de memoria. Combinado con otra vulnerabilidad, esa filtración podría ayudar a crear un ataque más complejo.

Una solicitud SAML incorrecta provocaba un fallo en el proceso nsppe y podía afectar al funcionamiento del dispositivo. La publicación de WatchTowr solo describe una demostración de prueba; no contiene información sobre ataques reales que emplearan CVE-2026-8451.

Citrix lanzó parches el 30 de junio. La vulnerabilidad se corrigió en NetScaler ADC y NetScaler Gateway 14.1-72.61 y 13.1-63.18, así como en las versiones FIPS 14.1-72.61 y 13.1-37.272. Se recomienda a los administradores actualizar los sistemas vulnerables a las versiones indicadas o a versiones posteriores.