Vulnérabilité Critique dans Citrix NetScaler
.png)
Produits concernés
• NetScaler ADC en version antérieure à 14.1-72.61 (branche 14.1)
• NetScaler ADC en version antérieure à 13.1-63.18 (branche 13.1)
• NetScaler ADC 14.1-FIPS en version antérieure à 14.1-72.61 FIPS
• NetScaler Gateway sur les mêmes branches de version
Prérequis
• Appliance NetScaler ADC ou NetScaler Gateway configurée en tant que fournisseur d'identité SAML (SAML IDP)
• Accès réseau à l'endpoint /saml/login
Risques
• Exfiltration de données sensibles
• Exploitation d'informations d'identification
• Compromission des identités
Résumé
Une vulnérabilité critique de type "Divulgation d'informations par lecture mémoire hors limites" affectant les solutions NetScaler ADC et NetScaler Gateway a été publiée par Citrix le 30 juin 2026, suite à un signalement de watchTowr Labs.
Le niveau de criticité de cette vulnérabilité est de 8.8 (score CVSSv4.0).
Les solutions NetScaler ADC et NetScaler Gateway assurent des fonctions de load balancing, d'authentification et d'accès distant pour les environnements d'entreprise.
CVE-2026-8451 : Une vulnérabilité dans le parseur XML des requêtes SAML de NetScaler pourrait permettre à un attaquant distant non authentifié de lire des fragments de mémoire du processus au-delà des limites prévues, en envoyant une requête SAML malformée à l'endpoint /saml/login. L'attaquant n'a besoin d'aucun identifiant pour exploiter cette vulnérabilité, seule une configuration de l'appliance en SAML IDP est requise.
L'exploitation de cette CVE pourrait permettre à l'attaquant de récupérer des informations exploitables.
À l'heure actuelle, aucune trace d'exploitation par des groupes d'attaquants n'a été remontée. Un code de démonstration technique a néanmoins été publié par watchTowr Labs au moment de la divulgation.
Cette vulnérabilité appartient à la même famille que CVE-2026-3055 (CitrixBleed, divulguée en mars 2026), qui avait rejoint le catalogue CISA KEV quelques jours après sa publication. Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre pour tout équipement exposé sur Internet et configuré en SAML IDP.
Solutions
Détection de la compromission :
Afin de vérifier si un équipement est compromis, vous pouvez:
• Auditer les logs d'accès à l'endpoint /saml/login à la recherche de requêtes contenant des attributs XML malformés ou non terminés (notamment sur l'attribut AssertionConsumerServiceURL)
• Surveiller les redémarrages ou plantages inattendus du processus nsppe, qui peuvent signaler une tentative d'exploitation
• Rechercher dans les logs d'authentification SAML des requêtes provenant d'IP inhabituelles ou en volume anormal sur cet endpoint
Aucun indicateur de compromission public n'est disponible à l'heure de l'émission de ce bulletin.
Remédiation :
Mettre à jour NetScaler ADC et NetScaler Gateway vers les versions :
• 14.1-72.61 ou ultérieure (branche 14.1)
• 13.1-63.18 ou ultérieure (branche 13.1)
• 14.1-72.61 FIPS ou ultérieure (branche 14.1-FIPS)
Le détail est disponible dans les liens en références.
Mitigation :
• Désactiver la fonctionnalité SAML IDP si elle n'est pas utilisée
• Restreindre l'accès à l'endpoint /saml/login et aux interfaces d'authentification via pare-feu, VPN ou allowlist IP
Références
• https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX696604
• https://nvd.nist.gov/vuln/detail/CVE-2026-8451
• https://labs.watchtowr.com/citrixbleed-to-infinity-and-beyond-citrix-netscaler-pre-auth-memory-over…
• https://thehackernews.com/2026/07/citrix-patches-six-netscaler-flaws.html

Restez informés des dernières menaces !
Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

