Auf den Punkt: Eine neue Citrix-NetScaler-Schwachstelle (CVE-2026-8451) ermöglicht unauthentifizierten Datenleck aus Prozessspeicher und wird in aktiven Angriffen ausgenutzt.
Citrix hat eine neue Memory-Overread-Schwachstelle in NetScaler-Appliances behoben, CVE-2026-8451. Weniger als 24 Stunden nach der Veröffentlichung des Patches wurden bereits Ausnutzungsversuche in freier Wildbahn beobachtet.
Die von Sicherheitsforschern von watchTowr entdeckte Schwachstelle CVE-2026-8451 gehört zur Serie der CitrixBleed-Varianten: Sie ermöglicht es, über fehlerhafte unauthentifizierte Anfragen geschützte Prozessspeicherdaten zurückzulecken. Citrix ordnete sie mit einem CVSS-Score von 8,8 als hochgradig kritisch ein. Im Gegensatz zu ihren Vorgängern (CVE-2023-4966, CVE-2025-5777, CVE-2026-3055) können mit CVE-2026-8451 nur kleinere Datenmengen abgegriffen werden – dabei wurden bislang keine Session-IDs beobachtet.
Die Ausnutzung setzt voraus, dass die NetScaler-Appliance als SAML-Identity-Provider konfiguriert ist. Das ist dieselbe Bedingung wie bei CitrixBleed 3, die im März gepatcht wurde und anschließend in aktiven Angriffen eingesetzt wurde. Der Sicherheitsfirma Lupovis zufolge wurde CVE-2026-8451 innerhalb von 24 Stunden nach dem Patch angegriffen: Drei separate Sensoren wurden in einem fünfstündigen Fenster gezielt attackiert; auf dem dritten Sensor erfolgte eine erfolgreiche Antwort (HTTP 200), woraufhin der Angreifer direkt die Exploit-Payload auslieferte.
Obwohl die Proof-of-Concept nur einzelne Bytes sickerte – deutlich weniger als die Kilobytes bei früheren CitrixBleed-Fällen – sind die durchgesickerten Informationen für Angreifer wertvoll. Wiederholte Anfragen könnten letztlich sensitive Daten freilegen. Kritischer noch: Das Leck kann Prozessspeicher-Pointer offenbaren, die Angreifern helfen, Payloads über andere Schwachstellen wie Buffer-Overflows zu platzieren und so Anti-Exploit-Mechanismen wie ASLR zu umgehen und vollständige Kontrolle über das Gerät zu erlangen.
Im gleichen Patch-Zyklus behob Citrix weitere Lücken: zwei High-Severity-Memory-Overflow-Schwachstellen (CVE-2026-8452, CVE-2026-8655), eine unauthentifizierte willkürliche Dateilesung (CVE-2026-10816), eine weitere Out-of-Bounds-Memory-Overread (CVE-2026-10817) und eine Denial-of-Service über HTTP/2 (CVE-2026-13474), eine NetScaler-Instanz des HTTP/2-Bomb-Angriffs (CVE-2026-49975).
Für NetScaler ADC und NetScaler Gateway sollten Organisationen auf Versionen 14.1-72.61, 13.1-63.18 oder 13.1-37.272 aktualisieren. WatchTowr hat zudem ein Python-Erkennungsskript für CVE-2026-8451 veröffentlicht, um schnell zu testen, ob Appliances anfällig sind.
Quelle: www.csoonline.com · Erschienen 3. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.