Citrix NetScaler a reçu des correctifs pour une autre vulnérabilité de fuite de mémoire similaire à CitrixBleed, ainsi que des problèmes de débordement de mémoire, de lecture de fichiers et de déni de service.
Les appliances Citrix NetScaler ont été une cible constante pour les attaquants ces dernières années, plus récemment via une vulnérabilité de fuite d’informations baptisée CitrixBleed 3, la dernière d’une série de surcharges de mémoire NetScaler remontant à 2023. Cette semaine, Citrix a corrigé une autre vulnérabilité de type CitrixBleed et il y a déjà des signes d’exploitation dans la nature.
La nouvelle vulnérabilité de surcharge de mémoire, identifiée comme CVE-2026-8451, a été découverte par des chercheurs de la société de sécurité watchTowr qui ont publié un article détaillé montrant comment des requêtes mal formées non authentifiées peuvent entraîner une fuite des données de mémoire de processus protégées dans les réponses.
Les vulnérabilités originales CitrixBleed (CVE-2023-4966), CitrixBleed 2 (CVE-2025-5777) et CitrixBleed 3 (CVE-2026-3055) étaient toutes jugées critiques car elles pouvaient être utilisées pour divulguer des jetons de session et d’autres informations d’identification stockées en mémoire. Le nouveau CVE-2026-8451 ne peut être utilisé que pour divulguer des quantités de données beaucoup plus petites qui ne semblent pas inclure les identifiants de session. Pour cette raison, Citrix lui a attribué un score CVSS de 8,8 (gravité élevée).
Pour que l’exploitation soit possible, l’appliance NetScaler doit être configurée en tant que fournisseur d’identité SAML, mais cela a également été le cas pour CitrixBleed 3, qui a été corrigé en mars et a ensuite été exploité dans la nature.
Cette exigence ne signifie donc pas que les attaques sont peu probables ou que cette configuration est rare. En fait, moins de 24 heures après le patch Citirix, la société de sécurité Lupovis a signalé avoir vu des tentatives d’exploitation frapper ses capteurs honeypot.
« Trois capteurs distincts ont été ciblés dans un délai de cinq heures », a indiqué la société. « L’acteur a reçu une réponse de 200 sur le troisième capteur et a immédiatement livré la charge utile de l’exploit. »
Fuite plus petite mais toujours dangereuse
Même si watchTowr n’a pu divulguer que des octets de données grâce à cette faille, contre des kilo-octets avec les problèmes CitrixBleed précédents, les informations exposées pourraient toujours être utiles aux attaquants.
Bien que la preuve de concept n’ait pas révélé d’informations d’identification ou de jetons, il est possible que des demandes répétées finissent par divulguer quelque chose de sensible. À tout le moins, les fuites peuvent exposer des pointeurs de mémoire de processus qui pourraient permettre aux attaquants de fournir plus facilement des charges utiles en utilisant des vulnérabilités d’écriture en mémoire telles que des dépassements de tampon.
En écrasant les données dans un emplacement mémoire qui contient normalement le code exécuté par le processus, les attaquants pourraient contourner les défenses anti-exploitation comme ASLR pour prendre le contrôle total de l’appareil.
Dans le cadre de ce même cycle de correctifs, Citrix a également corrigé deux vulnérabilités de débordement de mémoire de haute gravité, identifiées comme CVE-2026-8452 et CVE-2026-8655. Le chaînage des exploits pour différentes vulnérabilités est une approche courante dans les attaques modernes.
La société a également corrigé une lecture de fichier arbitraire non authentifiée (CVE-2026-10816), une autre lecture de mémoire hors limites (CVE-2026-10817) et un problème de déni de service exploitable via des requêtes HTTP/2 (CVE-2026-13474). Cette dernière est en fait une instance spécifique à NetScaler de la vulnérabilité HTTP/2 Bomb (CVE-2026-49975) récemment corrigée dans le serveur Web Apache.
Atténuation
Citrix conseille aux clients de mettre à niveau leurs appliances NetScaler ADC et NetScaler Gateway vers les versions 14.1-72.61, 14.1-72.61 FIPS, 13.1-63.18, 13.1-FIPS et 13.1-NDcPP 13.1.37.272. La vulnérabilité HTTP/2 Bomb nécessite également des modifications de configuration en plus des correctifs.
Ces changements sont décrits dans l’avis Citrix ainsi que les méthodes permettant de déterminer si les appliances répondent aux conditions préalables de configuration pour l’exploitation des autres failles. WatchTowr a également publié un script de détection Python pour la vulnérabilité CVE-2026-8451 qui permet aux organisations de tester rapidement si leurs appliances sont sensibles à l’exploit.



