// 2 CVE · 1 EXPLOIT NELLE ULTIME 24H
Citrix ha rilasciato patch per sei vulnerabilità NetScaler ADC/Gateway. CVE-2026-8451 è una nuova istanza CitrixBleed. Per CVE-2026-13474 serve riconfigurazione manuale.

Citrix ha rilasciato il 30 giugno 2026 patch per sei vulnerabilità in NetScaler ADC e NetScaler Gateway, tra cui una nuova istanza della serie CitrixBleed e una tecnica di attacco denominata HTTP/2 Bomb. Il problema immediato per i team operativi non è solo applicare l'aggiornamento: una delle falle richiede la modifica manuale di un parametro timeout nascosto, altrimenti la protezione resta incompleta. La combinazione di vulnerabilità ad alta gravità e gap tra deployment e remediation effettiva riapre una ferita mai rimarginata nella gestione delle appliance internet-facing di Citrix.

Punti chiave
  • Citrix ha patchato sei CVE: CVE-2026-8451, CVE-2026-8452, CVE-2026-8655, CVE-2026-10816, CVE-2026-10817 e CVE-2026-13474, con punteggi CVSS fino a 8.8.
  • CVE-2026-8451 è una memory overread nel parser XML custom per SAML, classificata da watchTowr come nuova istanza della serie CitrixBleed; restituisce pochi byte per richiesta ma include data pointer.
  • CVE-2026-13474, denominata HTTP/2 Bomb, è un DoS con CVSS 8.7 che richiede l'impostazione manuale di Http2SmallWndTimeout a 30 secondi per le appliance senza HTTP Strict Profile.
  • Non risulta exploitation attiva confermata al momento della disclosure, ma il pattern storico documentato da CISA per flaw correlate precedenti mostra weaponization entro giorni.

Il ritorno di CitrixBleed: pochi byte, stessa fragilità strutturale

CVE-2026-8451 è stata scoperta da watchTowr in marzo 2026, durante tentativi di riprodurre CVE-2026-3055, la falla CitrixBleed del ciclo precedente. La root cause è identica nella natura: il parser XML custom che NetScaler utilizza per le funzionalità SAML IDP non tratta whitespace e newline come terminatori per attribute values unquoted. Il parser continua la lettura out-of-bounds fino a un null byte o a un simbolo di chiusura maggiore, secondo l'analisi di Beazley Security.

La differenza quantitativa rispetto al CitrixBleed originale è significativa: invece di kilobyte di dati binari, la disclosure di watchTowr riporta pochi byte per richiesta. Tuttavia, quei byte includono data pointer che, secondo The Hacker News, sono potenzialmente utilizzabili in catena per RCE. La stessa fonte documenta anche una variante trivial di DoS: una malformed request che crasha direttamente l'appliance.

L'exploit richiede condizioni specifiche: NetScaler configurato come SAML IDP con parametri precisi sulla login request. Non è una configurazione marginale — le appliance NetScaler sono deployate pervasivamente per VPN aziendali, load balancing e single sign-on — ma il vincolo operativo riduce la superficie di attacco rispetto a una esposizione incondizionata.

"However, what should be of concern is the bigger picture – the trend, which is very clearly suggesting that memory management continues to appear fragile within Citrix NetScaler appliances, to the extent that even accidentally misconfiguring an appliance can lead to the disclosure of leaked memory"
— Aliz Hammond, watchTowr

HTTP/2 Bomb: quando l'AI trova la falla e la patch non chiude tutto

CVE-2026-13474, con CVSS 8.7, introduce il vettore denominato HTTP/2 Bomb: un attacco DoS basato su malformed HTTP/2 requests che sfrutta la manipolazione della finestra di controllo del protocollo per esaurire la memoria. Secondo SecurityWeek, la tecnica è stata scoperta utilizzando OpenAI Codex e combina metodi di attacco precedentemente noti in una specifica particolarmente efficace contro NetScaler.

Qui si apre il gap operativo cruciale. Per le appliance che non utilizzano HTTP Strict Profiles, il valore di default del parametro Http2SmallWndTimeout è 0. The Hacker News riporta esplicitamente il comando necessario: set ns httpProfile con l'impostazione del timeout a 30 secondi. Senza questo intervento manuale aggiuntivo, la patch da sola non garantisce la mitigazione completa.

La fonte non specifica quante appliance in produzione adottino HTTP Strict Profiles, né quanti amministratori siano a conoscenza del parametro. La combinazione di update automatico e configurazione manuale dimenticata è uno schema ricorrente nelle finestre di esposizione post-patch, e in questo caso è esplicitamente documentata dal vendor.

La lezione di CISA KEV: i giorni contano, non le settimane

CyberScoop ricorda che NetScaler ha accumulato oltre 20 entry nel catalogo CISA Known Exploited Vulnerabilities negli ultimi tre anni, molte delle quali sono state weaponizzate in campagne ransomware. Il dato contestuale più rilevante è CVE-2026-3055: CISA l'ha inserita in KEV con exploitation confermata entro giorni dalla disclosure, secondo sia il catalogo ufficiale che l'analisi di CyberScoop.

Questo pattern storico impone una lettura cauta sull'assenza di exploitation attiva riportata per le nuove vulnerabilità. CyberScoop specifica che né il bulletin vendor né il writeup di watchTowr citano exploitation confermata al momento della stesura. L'incertezza riguarda il quando, non il se: il dossier non documenta cambiamenti immediati nella stima di rischio, ma il contesto CISA suggerisce che il margine temporale per la remediation è stretto.

Cosa fare adesso

  • Verificare che le appliance NetScaler ADC/Gateway siano aggiornate alle versioni 14.1-72.61, 13.1-63.18, o alle corrispondenti build FIPS/NDcPP 14.1-72.61 e 13.1-37.272, secondo le release notes citate da SecurityWeek.
  • Controllare la configurazione del parametro Http2SmallWndTimeout: impostarlo a 30 secondi per tutte le appliance che non utilizzano HTTP Strict Profiles, con il comando indicato da The Hacker News.
  • Identificare gli appliance configurati come SAML IDP e verificare se esposti a internet, dato che CVE-2026-8451 richiede questa condizione preliminare.
  • Monitorare il catalogo CISA KEV per eventuale inserimento di CVE-2026-8451 o CVE-2026-13474, che innalzerebbe la priorità da "alta" a "critica" nei programmi di vulnerability management.

La memoria che non dimentica, i parser che non imparano

La ricorrenza di flaw nel parser XML SAML di NetScaler, a distanza di anni dal CitrixBleed originale, indica una fragilità architetturale non risolta con patch puntuali. La scoperta di watchTowr durante tentativi di riprodurre una falla precedente suggerisce che la superficie di attacco è prevedibile per chi la studia sistematicamente. La necessità di riconfigurazione manuale per HTTP/2 Bomb aggiunge un attrito organizzativo che il passato ha dimostrato essere un collo di bottiglia reale, non teorico. Le appliance NetScaler sono internet-facing per definizione: quando la tecnica è nota, la distanza tra disclosure e weaponization si misura in giorni, non in cicli di patching trimestrali.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. securityweek.com
  2. cyberscoop.com
  3. thehackernews.com
  4. beazley.security
  5. nvd.nist.gov
  6. github.com
  7. cisa.gov