Co luka naprawdę ujawnia

CVE-2026-8451 tkwi w NetScaler ADC i NetScaler Gateway, gdy urządzenie jest skonfigurowane jako dostawca tożsamości SAML, czyli skrzynka, która uwierzytelnia personel, zanim dotrze on do czegokolwiek wewnątrz. Parser XML w punkcie końcowym /saml/login nie przestaje czytać wartości atrybutu po napotkaniu znaku nowej linii, wychodzi poza koniec bufora i kopiuje sąsiednią pamięć do zwracanego ciasteczka NSC_TASS.

Ta sąsiednia pamięć to nie szum. Brama tożsamości obsługuje stały strumień logowań, więc jej pamięć przechowuje tokeny sesji, ciasteczka i poświadczenia osób pracujących w danej chwili. Wyciek wystarczająco dużo i atakujący odtwarza żywą sesję, pojawia się jako już uwierzytelniony pracownik i całkowicie omija pytanie dwuskładnikowe, ponieważ token, który trzyma, wydano po drugim składniku.

Poprawka nie była metą

Citrix wydał poprawkę 30 czerwca 2026 w komunikacie CTX696604. W ciągu około doby czujniki łapały aktywne wykorzystanie, a czwartego dnia CrowdSec naliczył 71 unikalnych złośliwych adresów i 424 sygnały wykorzystania, ze szczytem 127 w ciągu dnia. Okno między publiczną poprawką a masowym wykorzystaniem mierzy się dziś w godzinach, nie w tygodniach, bo sama poprawka mówi atakującym, gdzie szukać.

To ta sama klasa błędu, która uczyniła pierwotny CitrixBleed jedną z najbardziej szkodliwych luk 2023 roku, i wraca do tego samego produktu nie bez powodu. Brama uwierzytelniająca całą organizację to najcenniejsza pojedyncza skrzynka w sieci, jedno cieknące urządzenie może unieważnić każdą inną kontrolę za nim. Dlatego zasługuje na zobowiązanie do łatania tego samego dnia, którego wiele firm nie daje niczemu innemu.

Co zrobić przed weekendem

Zaktualizuj NetScaler ADC i Gateway do 14.1-72.61 lub 13.1-63.18 albo nowszej, a potem sprawdź, czy urządzenie jest naprawdę skonfigurowane jako dostawca tożsamości SAML, bo to jest odsłonięte przejście. Luka figuruje na liście wykorzystywanych podatności CISA, a polski CERT Polska wydał ostrzeżenie, co dla wielu operatorów jest sygnałem przenoszącym ją z zaległości na ten sam dzień.

Następnie usuń sesje. Poprawka zatrzymuje nowy wyciek pamięci, ale token skradziony godzinę przed załataniem nadal się loguje, więc zakończ aktywne sesje i wymuś ponowne uwierzytelnienie po aktualizacji. Zgodnie z NIS2 obowiązek zgłoszenia wynikającego naruszenia spoczywa na tobie jako operatorze, choć luka tkwi w urządzeniu dostawcy, więc zapis tego, kiedy załatałeś i rotowałeś, waży tyle samo co sama poprawka.