Cosa espone davvero la falla

CVE-2026-8451 vive in NetScaler ADC e NetScaler Gateway quando l'apparato è configurato come provider di identità SAML, cioè la scatola che autentica il personale prima che raggiunga qualsiasi cosa all'interno. L'analizzatore XML dell'endpoint /saml/login non smette di leggere il valore di un attributo quando incontra un a capo, oltrepassa la fine del buffer e copia la memoria adiacente nel cookie NSC_TASS che restituisce.

Quella memoria adiacente non è rumore casuale. Un gateway di identità gestisce un flusso costante di accessi, quindi la sua memoria contiene token di sessione, cookie e credenziali delle persone al lavoro in quel momento. Con abbastanza fuga un attaccante riproduce una sessione viva, si presenta come un dipendente già autenticato e aggira del tutto la verifica a due fattori, perché il token che possiede è stato emesso dopo il secondo fattore.

La patch non era il traguardo

Citrix ha rilasciato la correzione il 30 giugno 2026 nell'avviso CTX696604. Nel giro di circa un giorno i sensori intercettavano sfruttamento attivo, e al quarto giorno CrowdSec aveva contato 71 indirizzi malevoli unici e 424 segnali di sfruttamento, con un picco giornaliero di 127. La finestra tra una patch pubblica e lo sfruttamento di massa si misura oggi in ore, non in settimane, perché la patch stessa dice agli attaccanti dove guardare.

È la stessa classe di difetto che rese il CitrixBleed originale una delle falle più dannose del 2023, e torna sullo stesso prodotto per un motivo. Il gateway che autentica un'intera organizzazione è la singola scatola di maggior valore in rete, un solo apparato che perde memoria può annullare ogni altro controllo che gli sta dietro. Per questo merita un impegno di patch in giornata che molte aziende non riservano a nient'altro.

Cosa fare prima del fine settimana

Aggiornate NetScaler ADC e Gateway a 14.1-72.61 o 13.1-63.18 o versione successiva, poi verificate se l'apparato è davvero configurato come provider di identità SAML, perché quello è il percorso esposto. La falla è nell'elenco delle vulnerabilità sfruttate di CISA e l'ACN italiana ha diramato un avviso tramite il CSIRT Italia, il segnale che per molti operatori la sposta da arretrato a immediata.

Poi sfrattate le sessioni. Una patch ferma nuove perdite di memoria, ma un token rubato un'ora prima della patch continua ad accedere, quindi chiudete le sessioni attive e imponete la riautenticazione dopo l'aggiornamento. Con NIS2 il dovere di notificare la violazione ricade su di voi come operatore, anche se la falla è nell'apparato di un fornitore, perciò la traccia di quando avete applicato la patch e ruotato conta quanto la correzione.