Citrix NetScaler CVE-2026-8451: CitrixBleed-Nachfolger leakt Speicher vor der Anmeldung
Citrix hat am 30. Juni 2026 sechs NetScaler-Lücken geschlossen, die kritische CVE-2026-8451 leakt Speicherfragmente über das NSC_TASS-Cookie. Erste Probe-Angriffe laufen bereits, Admins mit SAML-IdP-Konfiguration sollten jetzt patchen.

Citrix hat am 30. Juni 2026 ein Sicherheits-Bulletin für NetScaler ADC und NetScaler Gateway veröffentlicht. Die darin enthaltene CVE-2026-8451 mit CVSS 8.8 ist eine unauthentifizierte Speicher-Lese-Lücke in der SAML-IdP-Komponente und gehört zur CitrixBleed-Familie. Sicherheitsforscher beobachten erste aktive Probe-Angriffe gegen exponierte NetScaler-Instanzen. Wer seine NetScaler-Box mit SAML-Identity-Provider betreibt, sollte die inzwischen veröffentlichten Patches sofort einspielen.
Was ist passiert?
Die Schwachstelle sitzt im XML-Parser, den NetScaler für SAML-Authentifizierungsanfragen verwendet. Bei unquoted XML-Attributwerten mit anschließendem Newline-Zeichen terminiert der Parser den Wert nicht korrekt, sodass er über das vorgesehene Buffer-Ende hinausliest. Die dabei ausgelesenen Speicherfragmente landen im NSC_TASS-Cookie der HTTP-Antwort und können von einem Angreifer ohne Authentifizierung direkt aus dem öffentlichen Web-Verkehr abgefangen werden. WatchTowr und Lupovis haben den Bug öffentlich analysiert, ein PoC ist verfügbar. Citrix hat am 30. Juni 2026 Patches für NetScaler ADC und NetScaler Gateway veröffentlicht und gemeinsam mit dem kanadischen Cyber Centre auf die hohe Dringlichkeit hingewiesen.
Wer ist betroffen?
Betroffen sind alle NetScaler-ADC- und NetScaler-Gateway-Instanzen, die als SAML-Identity-Provider konfiguriert sind und SAML-AuthnRequests aus dem Internet annehmen. Konkret verwundbar sind unter anderem NetScaler-Builds vor 14.1-43.50 sowie vor 13.1-58.32. Die Angriffe zielen auf genau die Konfiguration ab, die viele KMU nutzen, um ihren Mitarbeitern Web-Apps, Fileshares oder Kundensysteme über das NetScaler-Gateway bereitzustellen. Nicht betroffen sind NetScaler-Instanzen ohne SAML-IdP-Funktion und NetScaler-Boxen, die ausschließlich intern erreichbar sind. Andere Reverse-Proxies oder Load-Balancer wie F5, HAProxy oder nginx sind ebenfalls nicht betroffen, da der Bug spezifisch in Citrix-Code sitzt.
Wie kritisch ist das?
Citrix stuft die Lücke mit CVSS 8.8 als hoch ein. Weil der Speicher unauthentifiziert abgegriffen werden kann und in der Vergangenheit bereits CitrixBleed-ähnliche Lücken zu Massenkompromittierungen geführt haben, ist die praktische Relevanz sehr hoch. Konkret können aktive Session-Tokens von Administratoren und Endnutzern in den Speicherfragmenten landen, was einem Angreifer direkten Zugriff auf die Applikationen hinter dem Gateway erlaubt. Es handelt sich zwar um eine reine Lese-Lücke ohne direkten Schreibzugriff, aber gestohlene Session-Cookies sind im NetScaler-Kontext in der Praxis oft ausreichend für eine vollständige Übernahme.
Was sollten Admins jetzt tun?
- Build-Version prüfen: Auf jeder NetScaler-Instanz die Build-Nummer abfragen, zum Beispiel über die Management-GUI unter System, Software oder per
show versionin der CLI. Verwundbar sind alle Builds vor 14.1-43.50 und vor 13.1-58.32. - SAML-IdP-Rolle nur wo nötig aktivieren: Prüfen, ob die SAML-Identity-Provider-Funktion tatsächlich benötigt wird. Wird sie nur für eine einzelne Anwendung genutzt, kann sie alternativ über eine dedizierte Authentifizierungslösung abgebildet werden, um die Angriffsfläche zu reduzieren.
- Patchen: Den passenden Citrix-Build für die eigene LTS-Release-Linie installieren, anschließend NetScaler neu starten und das Build-Level erneut verifizieren. Patch-Notizen finden sich im Citrix-Bulletin AV26-645 sowie im Eintrag des kanadischen Centre for Cyber Security.
- Sessions invalidieren: Nach dem Patch alle aktiven AAA-Sessions, persistente Cookies und SAML-Assertions für betroffene Anwendungen ungültig machen. Bestehende NSC_TASS- und NSC_AAAC-Cookies sollten auf Server-Seite als sofort abgelaufen markiert werden.
- Logs prüfen: In den NetScaler-Audit-Logs und den Logs der Backend-Applikationen der letzten 14 Tage nach ungewöhnlich langen NSC_TASS-Cookies, ungewöhnlichen Authentifizierungsmustern und plötzlichen Logins aus fremden Quell-IPs suchen.
- Verdachtsfall: Bei konkreten Hinweisen auf Kompromittierung NetScaler-Instanz forensisch sichern, AAA-Konfiguration und alle lokalen Administrator-Konten überprüfen, die Zertifikate der SAML-IdP-Endpoints austauschen und nachgelagerte Applikationen einem Passwort-Rollover unterziehen.
Einordnung für Unternehmen
Die CitrixBleed-Familie hat in den letzten Jahren mehrfach gezeigt, dass Speicher-Lese-Lücken in NetScaler-Appliances zu großflächigen Kompromittierungen führen können. Für KMU bedeutet das, dass die NetScaler-Box nicht als reiner Netzwerk-Rand angesehen werden darf, sondern denselben Patch-Rhythmus braucht wie interne Server. Insbesondere die SAML-IdP-Konfiguration sollte nur dort aktiv sein, wo sie tatsächlich gebraucht wird, und der Build-Stand sollte monatlich kontrolliert werden. Wer den 30. Juni verpasst hat, sollte den Rollout der Citrix-Builds nicht auf den nächsten regulären Wartungszyklus verschieben, weil die Lücke bereits aktiv gesweept wird und jeder Tag ohne Patch das Risiko für eine kompromittierte Session erhöht.
Passende Anleitungen auf S-EDV
- CISA KEV: Warum der Known Exploited Vulnerabilities Catalog für Admins Pflicht ist ordnet ein, wie aktiv ausgenutzte Lücken in den eigenen Patch-Prozess einsortiert werden.
- OpenSSL: Neun Schwachstellen im Sicherheitsrelease vom 9. Juni 2026 zeigt einen vergleichbaren Pflicht-Patch für eine in vielen Setups verbaute OpenSSL-Komponente.
- Progress Kemp LoadMaster CVE-2026-8037: Pre-Auth-RCE jetzt prüfen behandelt eine weitere RCE vor der Anmeldung, die ergänzend zu prüfen ist.