A Citrix divulgou no dia 1 de julho de 2026 um boletim crítico (CTX696604) que corrige seis vulnerabilidades de alta severidade no NetScaler ADC e no NetScaler Gateway. As falhas permitem que atacantes remotos realizem leitura de memória, acesso a arquivos arbitrários e negação de serviço em appliances configurados como provedores de identidade SAML, gateways VPN e servidores DNS, afetando infraestruturas corporativas em todo o mundo.
Quais versões estão afetadas
O boletim atinge as versões 14.1 anteriores à 14.1-72.61 e 13.1 anteriores à 13.1-63.18, incluindo as variantes FIPS e NDcPP. Implementações do Secure Private Access Hybrid que usam instâncias NetScaler também estão no escopo. A Citrix esclareceu que apenas implementações gerenciadas pelo cliente estão expostas — os serviços em nuvem gerenciados pela própria empresa já receberam a correção. A tendência de tratar appliances de rede como exceções continua a ampliar o risco nessas implantações.
Como cada falha funciona
A vulnerabilidade mais crítica é a CVE-2026-8451 (CVSS v4 8,8), uma leitura fora dos limites (out-of-bounds read) que ocorre quando o appliance opera como provedor de identidade SAML. Um atacante pode explorá-la sem autenticação para acessar conteúdos sensíveis da memória, potencialmente expondo dados de autenticação — embora a leitura pare ao encontrar um byte nulo, limitando o volume de dados vazado por requisição.
A CVE-2026-8452 (CVSS 8,8) provoca estouro de memória quando o NetScaler atua como Gateway (SSL VPN, ICA Proxy, CVPN, RDP Proxy) ou como servidor virtual AAA, podendo causar travamentos imprevisíveis. Já a CVE-2026-10816 (CVSS 7,1) permite leitura arbitrária de arquivos sem autenticação, desde que o atacante tenha acesso às interfaces de gerenciamento (NSIP, SNIP ou Cluster Management IP).
A CVE-2026-13474 (CVSS 8,7) habilita negação de serviço via requisições HTTP/2 especialmente forjadas, que esgotam recursos ao criar streams paralisados. A CVE-2026-10817 causa leitura de memória ligada ao timestamp TCP, e a CVE-2026-8655 introduz múltiplos estouros de memória em configurações de balanceamento Oracle, proxy DNS e resolvedor DNS recursivo. Para um panorama mais amplo desses vetores, consulte nosso guia sobre ataques DoS e DDoS e estratégias de defesa.
Quadro das vulnerabilidades corrigidas
| CVE | CVSS | Tipo | Condição de exploração |
|---|---|---|---|
| CVE-2026-8451 | 8,8 | Leitura fora dos limites | Appliance como IdP SAML |
| CVE-2026-8452 | 8,8 | Estouro de memória | Gateway ou AAA virtual server |
| CVE-2026-8655 | — | Múltiplos estouros | Oracle LB, proxy e resolvedor DNS |
| CVE-2026-10816 | 7,1 | Leitura arbitrária de arquivo | Acesso à interface de gerenciamento |
| CVE-2026-10817 | — | Leitura de memória | TCP timestamp habilitado |
| CVE-2026-13474 | 8,7 | Negação de serviço | HTTP/2 habilitado no perfil |
O que fazer agora
A correção exige atualização imediata para NetScaler ADC e Gateway 14.1-72.61 ou 13.1-63.18 (ou superior), com builds equivalentes disponíveis para FIPS e NDcPP. A CVE-2026-13474 exige uma etapa adicional: administradores devem definir o parâmetro recém-introduzido Http2SmallWndTimeout para 30 segundos, especialmente em ambientes que não usam HTTP Strict Profiles — onde o valor padrão de 0 não mitiga completamente o problema.
Equipes de segurança devem auditar configurações que usem perfis IdP SAML, timestamps TCP ou HTTP/2 em perfis padrão ou personalizados. Restrinja o acesso às interfaces de gerenciamento a redes confiáveis e monitore logs por tentativas de leitura de memória anômalas. Pesquisadores como Michael Tucker (JPMorgan Chase XOR), Aliz Hammond (watchTowr) e Maxim Suhanov divulgaram as falhas de forma responsável, sinalizando o valor desses appliances como alvo de alto valor para acesso inicial e exfiltração de dados.