Vad bristen faktiskt läcker
CVE-2026-8451 finns i NetScaler ADC och NetScaler Gateway när apparaten är inställd som SAML-identitetsleverantör, det vill säga lådan som autentiserar din personal innan den når något inne. XML-tolken vid endpunkten /saml/login slutar inte läsa ett attributvärde när den möter en radbrytning, läser förbi buffertens slut och kopierar det angränsande minnet till den returnerade kakan NSC_TASS.
Det angränsande minnet är inte brus. En identitetsgateway hanterar ett ständigt flöde av inloggningar, så dess minne rymmer sessionstokens, kakor och inloggningsuppgifter för dem som arbetar just nu. Läck tillräckligt och en angripare spelar upp en levande session på nytt, dyker upp som en redan autentiserad anställd och går helt förbi tvåstegsfrågan, eftersom tokenet utfärdades efter den andra faktorn.
Rättningen var inte mållinjen
Citrix släppte rättningen den 30 juni 2026 i rådgivningen CTX696604. Inom ungefär en dag fångade sensorer aktivt utnyttjande, och på fjärde dagen hade CrowdSec räknat 71 unika skadliga adresser och 424 utnyttjandesignaler med en dagstopp på 127. Fönstret mellan en offentlig rättning och massutnyttjande mäts nu i timmar, inte veckor, eftersom rättningen själv talar om för angripare var de ska leta.
Det är samma klass av fel som gjorde ursprungliga CitrixBleed till en av de mest skadliga bristerna 2023, och den återuppstår i samma produkt av ett skäl. Gatewayen som autentiserar en hel organisation är den enskilt mest värdefulla lådan i nätet, en enda läckande enhet kan upphäva varje annan kontroll bakom den. Därför förtjänar den ett åtagande att rätta samma dag som många företag inte ger något annat.
Vad man bör göra före helgen
Uppdatera NetScaler ADC och Gateway till 14.1-72.61 eller 13.1-63.18 eller nyare, och kontrollera sedan om din apparat verkligen är inställd som SAML-identitetsleverantör, för det är den blottade vägen. Bristen står på CISA:s lista över utnyttjade sårbarheter och svenska MSB har varnat via CERT-SE, vilket för många operatörer är utlösaren som flyttar den från eftersläpning till samma dag.
Kasta sedan ut sessionerna. En rättning stoppar ny minnesläcka, men ett token stulet en timme innan du rättade loggar fortfarande in, så avsluta aktiva sessioner och tvinga återautentisering efter uppdateringen. Under NIS2 ligger plikten att anmäla det följande intrånget hos dig som operatör, även om bristen sitter i en leverantörs apparat, så spåret av när du rättade och roterade väger lika tungt som själva rättningen.
Läs vidare: En AI koerde sjalv ett helt ransomware-angrepp | 29 aar gammalt Squid-fel laecker inloggningar



