A Citrix publicou nesta terça-feira (01/07/2026) um pacote emergencial que corrige seis vulnerabilidades no NetScaler ADC e no NetScaler Gateway. O destaque vai para a CVE-2026-8451 (CVSS 8.8), classificada por pesquisadores como a mais nova entrega da linhagem “CitrixBleed”, e para a CVE-2026-13474 — variante do ataque HTTP/2 Bomb, um DoS descoberto com auxílio do OpenAI Codex e originalmente rastreado como CVE-2026-49975 no Apache HTTP Server.
O boletim da Citrix reúne quatro falhas de alta severidade (CVE-2026-8451, CVE-2026-8452, CVE-2026-8655 e CVE-2026-10816), uma de severidade média (também CVE-2026-10816, out-of-bounds read específico) e a HTTP/2 Bomb — negação de serviço que atinge servidores Apache HTTP e recebeu identificador dedicado para o NetScaler. As correções estão nas versões NetScaler ADC/Gateway 14.1-72.61 e 13.1-63.18, além de NetScaler ADC FIPS 14.1-72.61 FIPS e NetScaler ADC FIPS/NDcPP 13.1-37.272.
A Citrix ressalta que cada vulnerabilidade tem pré-condições específicas de configuração, e recomenda que administradores auditem quais features estão ativas em cada appliance antes de estimar exposição. Historicamente, no entanto, apostar em pré-requisitos como cinto de segurança contra CVEs em NetScaler tem se mostrado uma péssima ideia — a série CitrixBleed provou isso duas vezes desde 2023.
A CVE-2026-8451 — a mais preocupante do lote segundo a firma de attack surface management watchTowr — impacta o parser XML do NetScaler. O bug faz com que o dispositivo leia além dos limites de cada valor de atributo XML, permitindo devolver memória restrita dentro de uma resposta HTTP. Na prática, é um info-leak capaz de vazar tokens de sessão, chaves e material sensível — o mesmo padrão exato de exploração da CitrixBleed original (CVE-2023-4966), que abriu caminho para ondas de ransomware contra Boeing, Comcast Xfinity e vários hospitais dos EUA em 2023–2024.
A boa notícia é que a exploração exige que a instância esteja configurada como SAML IDP e que a requisição de login do atacante atenda condições específicas. A má notícia é que instalações NetScaler expostas em produção quase sempre operam com SAML/IDP habilitado, tornando a pré-condição menos restritiva do que parece.
Já a CVE-2026-13474 (HTTP/2 Bomb) mora em outro plano. Trata-se de um DoS que combina técnicas conhecidas de flood HTTP/2 — inspiradas em Rapid Reset (CVE-2023-44487) e no envio de streams com cabeçalhos abusivos — para derrubar servidores web. A variante foi descoberta pela ferramenta de code review do OpenAI Codex, que sinalizou o padrão vulnerável primeiro no Apache HTTP Server (CVE-2026-49975) e, por extensão, no NetScaler, que embarca stack HTTP semelhante.
“O CitrixBleed nunca acabou. Estamos vendo a mesma classe de bug ressurgir com novas roupagens porque o parser XML e o gerenciamento de memória do NetScaler continuam sendo terreno fértil. Aplique o patch antes de dormir.”
watchTowr, em análise pública sobre a CVE-2026-8451
Dois pontos merecem destaque. Primeiro, a CVE-2026-8451 mostra que a Citrix continua com dificuldade estrutural para fechar a superfície de info-leak em seu stack de rede — o mesmo tipo de bug foi corrigido em 2023 (CitrixBleed) e em 2024 (CitrixBleed 2), e agora reaparece com um vetor de disparo levemente diferente. Isso sinaliza dívida técnica não endereçada no parser XML, e provavelmente veremos variantes futuras enquanto a arquitetura não for reescrita.
Segundo, a CVE-2026-13474 é a primeira grande falha de infraestrutura pública que credita descoberta a uma ferramenta de auditoria de código baseada em LLM (OpenAI Codex). Isso inverte a narrativa que abordamos no post de hoje sobre o DeepSeek gerando ransomware: se a IA de fronteira acelera o adversário, também acelera o defensor — desde que este saia da inércia e a integre em pipelines de code review, fuzzing e triagem de CVE. Fabricantes que não colocarem LLMs na análise de dívida técnica de segurança serão superados por fabricantes que colocarem. E, no meio-termo, os atacantes.
Fonte: SecurityWeek
Montadora expõe SSNs, dados bancários e fiscais de empregados nos EUA, Canadá, México e Brasil…
Check Point identifica primeiro caso documentado em que uma IA de fronteira, sozinha, transformou risco…
A subsidiária japonesa da Aflac confirmou em filing à SEC que invasores acessaram o portal…
Estudo do CISPA revela três crashes no AirDrop e três bypasses lógicos no Quick Share…
Atacantes desconhecidos abusam de falha crítica (CVSS 10.0) no fluxo OIDC do SimpleHelp para criar…
Bug com CVSS 8.8 identificado pela JFrog é variante do DirtyFrag e ecoa o Dirty…