Hvad fejlen faktisk lækker

CVE-2026-8451 findes i NetScaler ADC og NetScaler Gateway, når apparatet er opsat som SAML-identitetsudbyder, altså den kasse, der godkender dine medarbejdere, før de når noget indenfor. XML-parseren på endepunktet /saml/login stopper ikke med at læse en attributværdi, når den møder et linjeskift, læser forbi bufferens ende og kopierer den tilstødende hukommelse ind i den returnerede cookie NSC_TASS.

Den tilstødende hukommelse er ikke støj. En identitetsgateway håndterer en konstant strøm af logins, så dens hukommelse rummer sessionstokens, cookies og legitimationsoplysninger for dem, der arbejder lige nu. Læk nok af det, og en angriber genafspiller en levende session, møder op som en allerede godkendt medarbejder og går helt uden om totrinsprompten, fordi tokenet blev udstedt efter den anden faktor.

Rettelsen var ikke mållinjen

Citrix udsendte rettelsen den 30. juni 2026 i rådgivningen CTX696604. Inden for cirka en dag fangede sensorer aktiv udnyttelse, og på fjerdedagen havde CrowdSec talt 71 unikke ondsindede adresser og 424 udnyttelsessignaler med en dagstop på 127. Vinduet mellem en offentlig rettelse og masseudnyttelse måles nu i timer, ikke uger, fordi rettelsen selv fortæller angriberne, hvor de skal kigge.

Det er samme klasse af fejl, der gjorde den oprindelige CitrixBleed til en af de mest skadelige læk i 2023, og den vender tilbage til samme produkt af en grund. Den gateway, der godkender en hel organisation, er den mest værdifulde enkelte kasse på netværket, en enkelt lækkende enhed kan ophæve enhver anden kontrol bag den. Derfor fortjener den en forpligtelse til at rette samme dag, som mange virksomheder ikke giver noget andet.

Hvad man skal gøre inden weekenden

Opdater NetScaler ADC og Gateway til 14.1-72.61 eller 13.1-63.18 eller nyere, og tjek så, om dit apparat faktisk er opsat som SAML-identitetsudbyder, for det er den udsatte sti. Fejlen står på CISA-listen over udnyttede sårbarheder, og det danske Center for Cybersikkerhed har advaret, hvilket for mange operatører er udløseren, der flytter den fra efterslæb til samme dag.

Smid derefter sessionerne ud. En rettelse stopper ny hukommelseslæk, men et token stjålet en time før du rettede, logger stadig ind, så afslut aktive sessioner og tving genlogin efter opdateringen. Under NIS2 ligger pligten til at anmelde det følgende brud hos dig som operatør, selvom fejlen sidder i en leverandørs apparat, så sporet af hvornår du rettede og roterede vejer lige så tungt som selve rettelsen.