Более 200 инсталляций Citrix NetScaler в России могут быть уязвимы
Она затрагивает только инсталляции, где устройство настроено как SAML Identity Provider (IdP). Уязвимость получила оценку 7,5 балла по шкале CVSS.
CVE‑2026‑8451 относится к классу pre‑auth memory overread и позволяет до прохождения аутентификации получить из памяти процесса фрагменты чувствительных данных с помощью специально сформированного запроса.
- Уязвимость эксплуатируют удаленно и без аутентификации.
- Опубликованы технические детали эксплуатации.
- На момент публикации нет подтвержденной информации об эксплуатации уязвимости в реальных атаках.
Уязвимы версии:
- NetScaler ADC и NetScaler Gateway версий 14.1 до 14.1–72.61;
- NetScaler ADC и NetScaler Gateway версий 13.1 до 13.1–63.18;
- NetScaler ADC FIPS до версии 14.1–72.61 FIPS;
- NetScaler ADC FIPS и NDcPP до версии 13.1–37.272.
- Базовая рекомендация вендора: немедленно перейти на новые версии ПО.
-
Практические правила для SIEM/IDS на основе публичной информации можно строить вокруг аномалий на
/saml/login:- всплески POST‑запросов с параметром
SAMLRequest; - необычно короткие или поврежденные Base64‑/XML‑пакеты;
- аномальное количество
400‑/500‑ответов; - резкие рестарты или падения nsppe;
- сам факт наличия профиля SAML IdP в конфигурации.
- всплески POST‑запросов с параметром
Для оценки потенциального риска на платформе BI.ZONE EASM уже добавлены правила обнаружения CVE‑2026‑8451. Решение позволяет выявить доступные из интернета серверы Citrix, определить уязвимые инсталляции и обнаружить неучтенные системы, которые могут представлять риск для организации. Кроме того, команда BI.ZONE WAF уже выпустила правила защиты, позволяющие предотвращать попытки эксплуатации новой уязвимости.