Ce que la faille laisse réellement fuir

CVE-2026-8451 réside dans NetScaler ADC et NetScaler Gateway quand l'équipement est configuré en fournisseur d'identité SAML, c'est-à-dire le boîtier qui authentifie votre personnel avant qu'il n'atteigne quoi que ce soit à l'intérieur. L'analyseur XML de l'endpoint /saml/login n'arrête pas de lire la valeur d'un attribut lorsqu'il rencontre un saut de ligne, dépasse la fin du tampon et copie la mémoire adjacente dans le cookie NSC_TASS qu'il renvoie.

Cette mémoire adjacente n'est pas du bruit. Une passerelle d'identité traite un flux constant de connexions, sa mémoire contient donc les jetons de session, cookies et identifiants des personnes au travail à cet instant. En laissant fuir assez, un attaquant rejoue une session vivante, se présente comme un employé déjà authentifié et contourne entièrement l'invite à deux facteurs, car le jeton qu'il détient a été émis après le second facteur.

Le correctif n'était pas la ligne d'arrivée

Citrix a publié le correctif le 30 juin 2026 dans l'avis CTX696604. En environ un jour, des capteurs relevaient une exploitation active, et au quatrième jour CrowdSec avait compté 71 adresses malveillantes uniques et 424 signaux d'exploitation, avec un pic quotidien de 127. La fenêtre entre un correctif public et l'exploitation de masse se mesure aujourd'hui en heures, pas en semaines, car le correctif lui-même montre aux attaquants où chercher.

C'est la même classe de défaut qui a fait du CitrixBleed d'origine l'une des failles les plus destructrices de 2023, et elle revient sur le même produit pour une raison. La passerelle qui authentifie une organisation entière est le boîtier le plus précieux du réseau, un seul équipement qui fuit peut annuler tout autre contrôle placé derrière lui. Voilà pourquoi il mérite un engagement de correction le jour même que beaucoup d'entreprises ne réservent à rien d'autre.

Quoi faire avant le week-end

Mettez NetScaler ADC et Gateway à jour vers 14.1-72.61 ou 13.1-63.18 ou plus récent, puis vérifiez si votre équipement est réellement configuré en fournisseur d'identité SAML, car c'est le chemin exposé. La faille figure sur la liste des vulnérabilités exploitées de la CISA et l'ANSSI a publié un signalement via le CERT-FR, ce qui pour beaucoup d'opérateurs est le déclencheur qui la fait passer de l'arrière-plan au jour même.

Ensuite, expulsez les sessions. Un correctif arrête les nouvelles fuites de mémoire, mais un jeton volé une heure avant votre correction se connecte encore, alors terminez les sessions actives et forcez la réauthentification après la mise à jour. Sous NIS2, le devoir de déclarer la violation qui en résulte vous incombe en tant qu'opérateur, même si la faille est dans l'équipement d'un fournisseur, donc la trace de quand vous avez corrigé et fait tourner compte autant que le correctif.