Skip to content

CERTFR-2026-AVI-0822 : six CVE Citrix NetScaler, fuite mémoire SAML

Le CERT-FR publie l'avis CERTFR-2026-AVI-0822 sur le bulletin Citrix CTX696604 : six CVE NetScaler ADC/Gateway, dont CVE-2026-8451, une fuite mémoire pré-auth sur le point SAML.

Publié le 6 min de lecture

Le CERT-FR a publié le 1er juillet 2026 l'avis CERTFR-2026-AVI-0822 répercutant le bulletin éditeur Citrix CTX696604 du 30 juin 2026. L'avis porte sur NetScaler ADC et NetScaler Gateway et recense six CVE. Le CERT-FR retient trois effets : « déni de service à distance, atteinte à la confidentialité des données et un problème de sécurité non spécifié par l'éditeur ». La CVE la plus regardée du lot — CVE-2026-8451 — est une fuite mémoire pré-authentification sur l'endpoint SAML, du même profil opérationnel que CitrixBleed 2 (CVE-2025-5777) inscrite au KEV en juillet 2025 après exploitation massive.

Périmètre concerné

Le bulletin éditeur liste la même fenêtre de version pour l'intégralité des CVE :

  • NetScaler ADC et Gateway 14.1 antérieures à 14.1-72.61
  • NetScaler ADC et Gateway 13.1 antérieures à 13.1-63.18
  • 14.1-FIPS antérieure à 14.1-72.61 FIPS
  • 13.1-FIPS et 13.1-NDcPP antérieures à 13.1-37.272

Les versions correctives sont 14.1-72.61, 13.1-63.18, 14.1-72.61 FIPS et 13.1-37.272 pour les branches FIPS/NDcPP. Elles sont disponibles sur le portail de téléchargement NetScaler. Les déploiements Secure Private Access on-prem et hybrides adossés à NetScaler héritent de la vulnérabilité par dépendance et doivent passer sur les mêmes versions.

Les six CVE

CVECVSSClassePrérequis
CVE-2026-84518.8Lecture mémoire pré-authSAML IdP configuré
CVE-2026-84528.8Débordement mémoire → DoSGateway ou AAA vserver
CVE-2026-86558.8Débordement mémoireConfigurations LB / DNS
CVE-2026-134748.7DoS HTTP/2 « Bomb »HTTP/2 activé sur vserver / service
CVE-2026-108167.7Lecture fichier arbitraire non-authAccès management sur NSIP / CLIP / SNIP
CVE-2026-108176.9Lecture mémoireHandling TCP timestamp

Deux entrées commandent l'urgence : CVE-2026-8451 (fuite mémoire pré-auth sur SAML) et CVE-2026-10816 (lecture de fichier arbitraire non-authentifiée sur l'interface de management). Les deux sont réseau, sans authentification.

CVE-2026-8451 — la fuite mémoire SAML

Selon la recherche publiée par watchTowr Labs, le défaut est dans le parseur XML NetScaler qui traite les requêtes SAML sur /saml/login. Pour les valeurs d'attribut non-quotées, le parseur n'arrête sa lecture que sur un octet nul, un > ou un guillemet correspondant — jamais sur un espace ou un retour à la ligne. Un attribut SAML malformé fait dépasser la borne mémoire prévue, et le surplus est renvoyé au client dans le cookie de réponse NSC_TASS. Les octets fuitent : pointeurs de tas exploitables pour contourner l'ASLR, fragments de session, jetons d'authentification.

C'est ce dernier point qui donne à la CVE son caractère opérationnel « CitrixBleed » : non-authentifié, atteignable en direct, laisse tomber la matière utile au détournement de session authentifiée. La cause racine diffère de CVE-2025-5777 — cette dernière lisait une variable de pile non-initialisée via le paramètre login du chemin Gateway/AAA — mais la conséquence pour l'opérateur est identique.

CVE-2026-13474 — le « HTTP/2 Bomb »

Selon Citrix et la reprise par SecurityWeek, CVE-2026-13474 est une CWE-401 (« missing release of memory after effective lifetime ») sur le traitement des requêtes HTTP/2. Des trames malformées ou des états de flux invalides laissent des flux « épinglés » en mémoire ; l'accumulation épuise les ressources de l'appliance. Le défaut se déclenche sur tout serveur virtuel (LB, CS, VPN) ou service où HTTP/2 est activé dans le profil HTTP.

Citrix documente une atténuation applicative qui ne nécessite pas la bascule de version : porter Http2SmallWndTimeout à 30 secondes dans le profil HTTP. Sur les appliances qui n'utilisent pas de profil HTTP strict, la valeur par défaut est 0 (pas de timeout) — c'est l'écart que le DoS exploite.

Statut de l'exploitation

Ni Citrix ni le CERT-FR ne mentionnent d'exploitation active à la publication. Le précédent est mauvais : la première CitrixBleed (CVE-2023-4966) et CitrixBleed 2 (CVE-2025-5777) sont toutes deux passées de « patch publié, pas d'exploitation observée » à « KEV avec détournement de session confirmé » en quelques semaines. La recherche watchTowr documente directement le bug de parseur et nomme la surface de fuite (NSC_TASS) : la reproduction est à portée de qui differe 14.1-72.61 contre la version précédente.

La couverture CyberScoop parle d'« echoes of CitrixBleed ». Traduit en langage opérationnel : le scan opportuniste sur /saml/login des NetScaler exposées se compte en jours, pas en semaines.

Que faire

  1. Passer les appliances en 14.1-72.61 / 13.1-63.18 sans attendre le prochain créneau mensuel. Pour les branches FIPS/NDcPP, viser 14.1-72.61 FIPS ou 13.1-37.272. La fenêtre de deux semaines observée sur CitrixBleed 2 en juillet 2025 est la donnée de calibrage.
  2. Sur toute appliance configurée en SAML IdP, tuer les sessions actives et faire tourner les secrets avant d'aller plus loin. Les commandes standard kill icaconnection -all, kill pcoipConnection -all, kill aaa session -all puis rotation du certificat SAML et des secrets porteurs de session. Cette procédure est celle recommandée par Citrix pour la remédiation CitrixBleed 2 — elle s'applique ici : ce qui a pu fuiter avant patch a fuité.
  3. Restreindre l'exposition du plan de management. Pour CVE-2026-10816, NSIP, Cluster Management IP et SNIP-avec-management ne doivent pas être joignables depuis le réseau bureautique — encore moins depuis internet. La note du NCSC britannique et le rappel CCB Belgique le redisent : plan de management sur VLAN dédié.
  4. Appliquer l'atténuation HTTP/2 Bomb en attendant la bascule. Http2SmallWndTimeout à 30 secondes sur chaque profil HTTP où HTTP/2 est actif. Ça n'annule pas la CVE mais ça borne le DoS pendant la fenêtre de patch.
  5. Chasser les traces d'abus antérieur. Sur les instances SAML IdP joignables depuis internet, revoir les logs d'authentification depuis la date de réservation CVE : flux SAML anormaux, sessions ouvertes depuis un user-agent ou un bloc IP inconnu. Un jeton fuité avant patch reste valide après patch tant qu'il n'expire pas ou n'est pas tué.

Contexte

Troisième été consécutif où la même famille d'appliances embarque une classe de bug qui donne à un attaquant non-authentifié la matière pour détourner une session authentifiée : CitrixBleed en 2023, CitrixBleed 2 en 2025, une fuite mémoire pré-auth sur le chemin SAML en 2026. La cause racine change à chaque itération ; le patron n'a pas changé. NetScaler est une appliance exposée sur internet, les chemins SAML et Gateway parsent du texte via des routines maison, et le socle ADC porte assez d'héritage pour que cette classe de lecture hors-bornes continue à sortir.

Pour un opérateur OIV, OSE ou entité essentielle NIS 2, la valeur de cet avis n'est pas dans la description technique — elle est dans le délai entre publication éditeur (30 juin) et publication CERT-FR (1er juillet), suivi par des alertes coordonnées du NCSC britannique, du CCB belge et de la CSA de Singapour. Cette convergence multi-CERT est le signal opérationnel : « patch job de 72 heures », pas « point d'attention sur le prochain comité de sécurité ».

Articles liés