Was die Lücke tatsächlich preisgibt

CVE-2026-8451 steckt in NetScaler ADC und NetScaler Gateway, sobald das Gerät als SAML-Identitätsanbieter konfiguriert ist, also als die Instanz, die Ihre Mitarbeiter anmeldet, bevor sie irgendetwas im Inneren erreichen. Der XML-Parser am Endpunkt /saml/login hört beim Lesen eines Attributwerts nicht auf, wenn er auf einen Zeilenumbruch trifft, läuft über das Ende des Puffers hinaus und kopiert den benachbarten Speicher in das zurückgegebene Cookie NSC_TASS.

Dieser benachbarte Speicher ist kein Rauschen. Ein Identitäts-Gateway verarbeitet einen ständigen Strom von Anmeldungen, also enthält sein Speicher Sitzungstoken, Cookies und Zugangsdaten der gerade arbeitenden Personen. Wer genug davon abschöpft, spielt eine laufende Sitzung erneut ein, erscheint als bereits angemeldeter Beschäftigter und umgeht die Zwei-Faktor-Abfrage vollständig, weil das Token nach dem zweiten Faktor ausgestellt wurde.

Der Patch war nicht das Ziel

Citrix lieferte den Fix am 30. Juni 2026 im Hinweis CTX696604 aus. Binnen rund eines Tages fingen Sensoren aktive Ausnutzung ein, und am vierten Tag hatte CrowdSec 71 eindeutige bösartige Adressen und 424 Ausnutzungssignale gezählt, mit einer Tagesspitze von 127. Das Fenster zwischen einem öffentlichen Patch und der Massenausnutzung misst sich heute in Stunden, nicht in Wochen, weil der Patch selbst den Angreifern zeigt, wo sie suchen müssen.

Es ist dieselbe Fehlerklasse, die das ursprüngliche CitrixBleed 2023 zu einer der schädlichsten Lücken machte, und sie kehrt aus einem Grund zum selben Produkt zurück. Das Gateway, das eine ganze Organisation anmeldet, ist der wertvollste einzelne Kasten im Netz, ein einziges undichtes Gerät kann jede andere Kontrolle dahinter aushebeln. Genau darum verdient es eine Patch-Zusage am selben Tag, die viele Firmen sonst niemandem geben.

Was vor dem Wochenende zu tun ist

Aktualisieren Sie NetScaler ADC und Gateway auf 14.1-72.61 oder 13.1-63.18 oder neuer und prüfen Sie dann, ob Ihr Gerät tatsächlich als SAML-Identitätsanbieter konfiguriert ist, denn das ist der offene Pfad. Die Lücke steht auf der CISA-Liste bekannter ausgenutzter Schwachstellen, und das deutsche BSI hat gewarnt, was für viele Betreiber der Auslöser ist, sie vom Rückstand auf denselben Tag zu heben.

Danach räumen Sie die Sitzungen. Ein Patch stoppt neues Speicherleck, aber ein Token, das eine Stunde vor dem Patch gestohlen wurde, meldet sich weiter an. Beenden Sie aktive Sitzungen und erzwingen Sie nach dem Update eine Neuanmeldung. Unter NIS2 liegt die Meldepflicht für eine daraus folgende Panne bei Ihnen als Betreiber, obwohl die Lücke im Gerät eines Herstellers sitzt, also zählt der Nachweis, wann Sie gepatcht und rotiert haben, so viel wie der Fix.