A Citrix divulgou no dia 1 de julho de 2026 um boletim crítico (CTX696604) que corrige seis vulnerabilidades de alta severidade no NetScaler ADC e no NetScaler Gateway. As falhas permitem que atacantes remotos realizem leitura de memória, acesso a arquivos arbitrários e negação de serviço em appliances configurados como provedores de identidade SAML, gateways VPN e servidores DNS, afetando infraestruturas corporativas em todo o mundo.

Quais versões estão afetadas

O boletim atinge as versões 14.1 anteriores à 14.1-72.61 e 13.1 anteriores à 13.1-63.18, incluindo as variantes FIPS e NDcPP. Implementações do Secure Private Access Hybrid que usam instâncias NetScaler também estão no escopo. A Citrix esclareceu que apenas implementações gerenciadas pelo cliente estão expostas — os serviços em nuvem gerenciados pela própria empresa já receberam a correção. A tendência de tratar appliances de rede como exceções continua a ampliar o risco nessas implantações.

Como cada falha funciona

A vulnerabilidade mais crítica é a CVE-2026-8451 (CVSS v4 8,8), uma leitura fora dos limites (out-of-bounds read) que ocorre quando o appliance opera como provedor de identidade SAML. Um atacante pode explorá-la sem autenticação para acessar conteúdos sensíveis da memória, potencialmente expondo dados de autenticação — embora a leitura pare ao encontrar um byte nulo, limitando o volume de dados vazado por requisição.

A CVE-2026-8452 (CVSS 8,8) provoca estouro de memória quando o NetScaler atua como Gateway (SSL VPN, ICA Proxy, CVPN, RDP Proxy) ou como servidor virtual AAA, podendo causar travamentos imprevisíveis. Já a CVE-2026-10816 (CVSS 7,1) permite leitura arbitrária de arquivos sem autenticação, desde que o atacante tenha acesso às interfaces de gerenciamento (NSIP, SNIP ou Cluster Management IP).

A CVE-2026-13474 (CVSS 8,7) habilita negação de serviço via requisições HTTP/2 especialmente forjadas, que esgotam recursos ao criar streams paralisados. A CVE-2026-10817 causa leitura de memória ligada ao timestamp TCP, e a CVE-2026-8655 introduz múltiplos estouros de memória em configurações de balanceamento Oracle, proxy DNS e resolvedor DNS recursivo. Para um panorama mais amplo desses vetores, consulte nosso guia sobre ataques DoS e DDoS e estratégias de defesa.

Quadro das vulnerabilidades corrigidas

CVE CVSS Tipo Condição de exploração
CVE-2026-8451 8,8 Leitura fora dos limites Appliance como IdP SAML
CVE-2026-8452 8,8 Estouro de memória Gateway ou AAA virtual server
CVE-2026-8655 Múltiplos estouros Oracle LB, proxy e resolvedor DNS
CVE-2026-10816 7,1 Leitura arbitrária de arquivo Acesso à interface de gerenciamento
CVE-2026-10817 Leitura de memória TCP timestamp habilitado
CVE-2026-13474 8,7 Negação de serviço HTTP/2 habilitado no perfil

O que fazer agora

A correção exige atualização imediata para NetScaler ADC e Gateway 14.1-72.61 ou 13.1-63.18 (ou superior), com builds equivalentes disponíveis para FIPS e NDcPP. A CVE-2026-13474 exige uma etapa adicional: administradores devem definir o parâmetro recém-introduzido Http2SmallWndTimeout para 30 segundos, especialmente em ambientes que não usam HTTP Strict Profiles — onde o valor padrão de 0 não mitiga completamente o problema.

Equipes de segurança devem auditar configurações que usem perfis IdP SAML, timestamps TCP ou HTTP/2 em perfis padrão ou personalizados. Restrinja o acesso às interfaces de gerenciamento a redes confiáveis e monitore logs por tentativas de leitura de memória anômalas. Pesquisadores como Michael Tucker (JPMorgan Chase XOR), Aliz Hammond (watchTowr) e Maxim Suhanov divulgaram as falhas de forma responsável, sinalizando o valor desses appliances como alvo de alto valor para acesso inicial e exfiltração de dados.

Fontes