Citrix во вторник выпустила обновления безопасности, закрывающие шесть уязвимостей в NetScaler ADC и NetScaler Gateway. Три из них получили оценку CVSS 8.8, что соответствует высокому уровню критичности. Одна из шести уже эксплуатируется в реальных атаках — и произошло это меньше чем через сутки после публичного раскрытия информации.
Самая опасная в контексте активной эксплуатации — CVE-2026-8451 (CVSS 8.8). Уязвимость связана с недостаточной валидацией входных данных при разборе SAML-запросов аутентификации, что приводит к чтению памяти за пределами выделенного буфера. Затрагивает она устройства, настроенные как SAML IDP. Обнаружила её исследователь Ализ Хаммонд из компании watchTowr в конце марта 2026 года — причём случайно: она пыталась воспроизвести другую уязвимость, CVE-2026-3055 с оценкой CVSS 9.3, раскрытую ранее в том же году. Выяснилось, что CVE-2026-8451 имеет ту же корневую причину, что и CVE-2026-3055, хотя и ведёт себя немного иначе.
Хаммонд описала разницу так: «В отличие от исходной CVE-2026-3055, при которой можно извлечь килобайты бинарных данных, этот выход за пределы буфера прекращается при чтении управляющих символов — таких как NULL или даже «>». На практике мы обнаружили, что, варьируя длину запроса, можно стабильно вытащить из сервера несколько байт». Немного, но достаточно для целевых атак — особенно если злоумышленник умеет работать с тем, что получает.
Более системный вывод Хаммонд сформулировала жёстко: «Управление памятью в устройствах Citrix NetScaler по-прежнему выглядит хрупким настолько, что даже случайная неправильная конфигурация может привести к утечке содержимого памяти». Это не единичный баг — это паттерн.
30 июня 2026 года компания Lupovis, занимающаяся анализом угроз, зафиксировала активную эксплуатацию CVE-2026-8451 в течение пятичасового окна. Атака шла с IP-адреса 146.70.139[.]154, зарегистрированного во Франкфурте. Примечательна логика атаки: полезная нагрузка доставлялась только в том случае, если сервер возвращал ответ 200 OK. Серверы с кодом 404 игнорировались. Генеральный директор и сооснователь Lupovis Ксавье Беллекенс прокомментировал это так: «Атакующие, судя по всему, сначала проверяют цели и доставляют полную нагрузку только при получении ожидаемого ответа. Это говорит об активной эксплуатации, а не о банальном сканировании». Используемый эксплойт совпадает с тем, что опубликовали watchTowr Labs.
Остальные пять уязвимостей пока не эксплуатируются в дикой природе, однако тоже требуют внимания. CVE-2026-8452 (CVSS 8.8) — переполнение памяти с DoS-последствиями, затрагивает устройства в роли Gateway или AAA virtual server. CVE-2026-8655 (CVSS 8.8) — схожий тип, но активируется при конфигурации NetScaler ADC как балансировщика нагрузки типа Oracle, DNS-прокси или рекурсивного DNS-резолвера. CVE-2026-10816 (CVSS 7.7) позволяет неаутентифицированному злоумышленнику читать произвольные файлы через внешнее управление путём файла, если доступ к NSIP, Cluster Management IP или SNIP с включённым управлением открыт. CVE-2026-10817 (CVSS 6.9) приводит к чтению памяти за пределами буфера при включённом TCP TimeStamp в профиле и привязке к виртуальным серверам типов LB, CS или VPN. Уязвимость CVE-2026-8451 обнаружила Ализ Хаммонд, CVE-2026-10816 и CVE-2026-10817 сообщил Максим Суханов, а Майкл Такер из XOR team компании JPMorgan Chase также участвовал в раскрытии информации.
Шестая уязвимость, CVE-2026-13474 (CVSS 8.1), стоит отдельно — не потому что опаснее других, а потому что простого обновления для неё недостаточно. Она связана с обработкой HTTP/2 small-window stalled streams и требует ручной настройки параметра Http2SmallWndTimeout. Устройства, использующие HTTP Strict Profiles, получат таймаут 30 секунд автоматически после обновления. Устройства без таких профилей имеют значение по умолчанию равное 0, и после установки патча останутся уязвимыми, если администратор вручную не выполнит команду:
set ns httpProfile <profile_name> -http2SmallWndTimeout <value_in_seconds>
Это нюанс, который легко пропустить при массовом обновлении парка устройств.
Исправленные версии: NetScaler ADC и NetScaler Gateway 14.1-72.61 и выше, ветка 13.1 — 13.1-63.18 и выше. Для FIPS-вариантов: NetScaler ADC 14.1-FIPS — версия 14.1-72.61 FIPS и выше, NetScaler ADC 13.1-FIPS и 13.1-NDcPP — версия 13.1.37.272 и выше.
Citrix-устройства давно входят в число приоритетных целей для атакующих — через предыдущие уязвимости в них разворачивались программы-вымогатели. Скорость, с которой CVE-2026-8451 перешла от публичного раскрытия к реальным атакам — меньше 24 часов — вписывается в эту историю без всяких сюрпризов. Патчи уже доступны, и тот факт, что некоторые из них требуют не только обновления, но и дополнительной ручной работы, делает проверку конфигурации обязательным шагом, а не опциональным.
Самая опасная в контексте активной эксплуатации — CVE-2026-8451 (CVSS 8.8). Уязвимость связана с недостаточной валидацией входных данных при разборе SAML-запросов аутентификации, что приводит к чтению памяти за пределами выделенного буфера. Затрагивает она устройства, настроенные как SAML IDP. Обнаружила её исследователь Ализ Хаммонд из компании watchTowr в конце марта 2026 года — причём случайно: она пыталась воспроизвести другую уязвимость, CVE-2026-3055 с оценкой CVSS 9.3, раскрытую ранее в том же году. Выяснилось, что CVE-2026-8451 имеет ту же корневую причину, что и CVE-2026-3055, хотя и ведёт себя немного иначе.
Хаммонд описала разницу так: «В отличие от исходной CVE-2026-3055, при которой можно извлечь килобайты бинарных данных, этот выход за пределы буфера прекращается при чтении управляющих символов — таких как NULL или даже «>». На практике мы обнаружили, что, варьируя длину запроса, можно стабильно вытащить из сервера несколько байт». Немного, но достаточно для целевых атак — особенно если злоумышленник умеет работать с тем, что получает.
Более системный вывод Хаммонд сформулировала жёстко: «Управление памятью в устройствах Citrix NetScaler по-прежнему выглядит хрупким настолько, что даже случайная неправильная конфигурация может привести к утечке содержимого памяти». Это не единичный баг — это паттерн.
30 июня 2026 года компания Lupovis, занимающаяся анализом угроз, зафиксировала активную эксплуатацию CVE-2026-8451 в течение пятичасового окна. Атака шла с IP-адреса 146.70.139[.]154, зарегистрированного во Франкфурте. Примечательна логика атаки: полезная нагрузка доставлялась только в том случае, если сервер возвращал ответ 200 OK. Серверы с кодом 404 игнорировались. Генеральный директор и сооснователь Lupovis Ксавье Беллекенс прокомментировал это так: «Атакующие, судя по всему, сначала проверяют цели и доставляют полную нагрузку только при получении ожидаемого ответа. Это говорит об активной эксплуатации, а не о банальном сканировании». Используемый эксплойт совпадает с тем, что опубликовали watchTowr Labs.
Остальные пять уязвимостей пока не эксплуатируются в дикой природе, однако тоже требуют внимания. CVE-2026-8452 (CVSS 8.8) — переполнение памяти с DoS-последствиями, затрагивает устройства в роли Gateway или AAA virtual server. CVE-2026-8655 (CVSS 8.8) — схожий тип, но активируется при конфигурации NetScaler ADC как балансировщика нагрузки типа Oracle, DNS-прокси или рекурсивного DNS-резолвера. CVE-2026-10816 (CVSS 7.7) позволяет неаутентифицированному злоумышленнику читать произвольные файлы через внешнее управление путём файла, если доступ к NSIP, Cluster Management IP или SNIP с включённым управлением открыт. CVE-2026-10817 (CVSS 6.9) приводит к чтению памяти за пределами буфера при включённом TCP TimeStamp в профиле и привязке к виртуальным серверам типов LB, CS или VPN. Уязвимость CVE-2026-8451 обнаружила Ализ Хаммонд, CVE-2026-10816 и CVE-2026-10817 сообщил Максим Суханов, а Майкл Такер из XOR team компании JPMorgan Chase также участвовал в раскрытии информации.
Шестая уязвимость, CVE-2026-13474 (CVSS 8.1), стоит отдельно — не потому что опаснее других, а потому что простого обновления для неё недостаточно. Она связана с обработкой HTTP/2 small-window stalled streams и требует ручной настройки параметра Http2SmallWndTimeout. Устройства, использующие HTTP Strict Profiles, получат таймаут 30 секунд автоматически после обновления. Устройства без таких профилей имеют значение по умолчанию равное 0, и после установки патча останутся уязвимыми, если администратор вручную не выполнит команду:
set ns httpProfile <profile_name> -http2SmallWndTimeout <value_in_seconds>
Это нюанс, который легко пропустить при массовом обновлении парка устройств.
Исправленные версии: NetScaler ADC и NetScaler Gateway 14.1-72.61 и выше, ветка 13.1 — 13.1-63.18 и выше. Для FIPS-вариантов: NetScaler ADC 14.1-FIPS — версия 14.1-72.61 FIPS и выше, NetScaler ADC 13.1-FIPS и 13.1-NDcPP — версия 13.1.37.272 и выше.
Citrix-устройства давно входят в число приоритетных целей для атакующих — через предыдущие уязвимости в них разворачивались программы-вымогатели. Скорость, с которой CVE-2026-8451 перешла от публичного раскрытия к реальным атакам — меньше 24 часов — вписывается в эту историю без всяких сюрпризов. Патчи уже доступны, и тот факт, что некоторые из них требуют не только обновления, но и дополнительной ручной работы, делает проверку конфигурации обязательным шагом, а не опциональным.