O que a falha realmente expõe

A CVE-2026-8451 vive no NetScaler ADC e no NetScaler Gateway quando o equipamento está configurado como fornecedor de identidade SAML, ou seja, a caixa que autentica o seu pessoal antes de este alcançar qualquer coisa no interior. O analisador XML no endpoint /saml/login não para de ler o valor de um atributo ao encontrar uma mudança de linha, ultrapassa o fim do buffer e copia a memória adjacente para o cookie NSC_TASS que devolve.

Essa memória adjacente não é ruído. Um gateway de identidade processa um fluxo constante de inícios de sessão, por isso a sua memória guarda tokens de sessão, cookies e credenciais de quem trabalha naquele momento. Com fuga suficiente, um atacante reproduz uma sessão viva, apresenta-se como um funcionário já autenticado e contorna por completo o pedido de dois passos, porque o token que detém foi emitido depois do segundo fator.

A correção não era a meta

A Citrix lançou a correção a 30 de junho de 2026 no aviso CTX696604. Ao fim de cerca de um dia, sensores captavam exploração ativa, e ao quarto dia a CrowdSec tinha contado 71 endereços maliciosos únicos e 424 sinais de exploração, com um pico diário de 127. A janela entre uma correção pública e a exploração em massa mede-se hoje em horas, não em semanas, porque a própria correção diz aos atacantes onde procurar.

É a mesma classe de defeito que tornou o CitrixBleed original numa das falhas mais danosas de 2023, e regressa ao mesmo produto por uma razão. O gateway que autentica uma organização inteira é a caixa mais valiosa da rede, um único equipamento com fuga pode anular qualquer outro controlo por trás dele. Por isso merece um compromisso de correção no próprio dia que muitas empresas não reservam para mais nada.

O que fazer antes do fim de semana

Atualize o NetScaler ADC e Gateway para 14.1-72.61 ou 13.1-63.18 ou mais recente e depois verifique se o seu equipamento está mesmo configurado como fornecedor de identidade SAML, porque esse é o caminho exposto. A falha consta da lista de vulnerabilidades exploradas da CISA e o CNCS emitiu alerta através do CERT.PT, o que para muitos operadores é o gatilho que a passa de pendente para o próprio dia.

Depois, expulse as sessões. Uma correção trava novas fugas de memória, mas um token roubado uma hora antes de corrigir ainda inicia sessão, por isso termine as sessões ativas e force a reautenticação após a atualização. Ao abrigo da NIS2, o dever de notificar a violação resultante recai sobre si como operador, mesmo que a falha esteja no equipamento de um fornecedor, portanto o registo de quando corrigiu e rodou pesa tanto como a própria correção.