Qué filtra realmente el fallo

CVE-2026-8451 reside en NetScaler ADC y NetScaler Gateway cuando el equipo está configurado como proveedor de identidad SAML, es decir, la caja que autentica a su personal antes de que llegue a nada interno. El analizador XML del endpoint /saml/login no deja de leer un valor de atributo al encontrar un salto de línea, se sale del final del búfer y copia la memoria contigua en la cookie NSC_TASS que devuelve.

Esa memoria contigua no es ruido aleatorio. Una pasarela de identidad procesa un flujo constante de inicios de sesión, así que su memoria guarda tokens de sesión, cookies y credenciales de quienes trabajan en ese momento. Con suficiente fuga, un atacante reproduce una sesión viva, llega como un empleado ya autenticado y esquiva por completo la doble verificación, porque el token que sostiene se emitió después de satisfacer el segundo factor.

El parche no era la meta

Citrix publicó la corrección el 30 de junio de 2026 en el aviso CTX696604. En torno a un día después, los sensores captaban explotación activa, y al cuarto día CrowdSec había contado 71 direcciones maliciosas únicas y 424 señales de explotación, con un pico diario de 127. La ventana entre un parche público y la explotación masiva se mide hoy en horas, no en semanas, porque el propio parche indica a los atacantes dónde mirar.

Es la misma clase de fallo que convirtió al CitrixBleed original en una de las brechas más dañinas de 2023, y vuelve al mismo producto por una razón. La pasarela que autentica a toda una organización es la caja más valiosa de la red, un solo equipo con fuga puede anular cualquier otro control situado detrás. Por eso merece un compromiso de parcheo el mismo día que muchas empresas no reservan para nada más.

Qué hacer antes del fin de semana

Actualice NetScaler ADC y Gateway a 14.1-72.61 o 13.1-63.18 o posterior y luego compruebe si su equipo está realmente configurado como proveedor de identidad SAML, porque ese es el camino expuesto. El fallo figura en la lista de vulnerabilidades explotadas de CISA y el INCIBE-CERT ha emitido aviso, lo que para muchos operadores es el disparador que lo pasa de pendiente a inmediato.

Después, desaloje las sesiones. Un parche detiene nuevas fugas de memoria, pero un token robado una hora antes de parchear sigue iniciando sesión, así que termine las sesiones activas y fuerce la reautenticación tras la actualización. Bajo NIS2 el deber de notificar la brecha resultante recae en usted como operador, aunque el fallo esté en el equipo de un proveedor, de modo que el registro de cuándo parcheó y rotó pesa tanto como la corrección.