Threats
A Citrix disponibilizou correções para seis vulnerabilidades no NetScaler ADC e NetScaler Gateway que podem permitir leitura arbitrária de ficheiros ou ataques de negação de serviço
01/07/2026
|
A Citrix lançou atualizações de segurança para corrigir seis vulnerabilidades que afetam o NetScaler ADC e o NetScaler Gateway, duas das quais classificadas com uma pontuação CVSS de 8,8. As falhas podem ser exploradas para provocar ataques de negação de serviço (DoS) ou permitir a leitura arbitrária de ficheiros sem necessidade de autenticação. A vulnerabilidade mais preocupante em termos de impacto é a CVE-2026-10816 (CVSS 7,7), que permite a um atacante ler ficheiros arbitrários quando o acesso de gestão ao equipamento está ativado através de NSIP, Cluster Management IP ou SNIP. As restantes vulnerabilidades afetam diferentes componentes da plataforma e podem originar comportamentos imprevisíveis, fugas de memória ou indisponibilidade dos sistemas. As correções estão disponíveis nas versões 14.1-72.61 e 13.1-63.18 do NetScaler ADC e NetScaler Gateway, incluindo as variantes FIPS e NDcPP suportadas. No caso da CVE-2026-13474, relacionada com pedidos HTTP/2 malformados, a Citrix alerta que a atualização do software pode não ser suficiente em todos os ambientes. As organizações que não utilizem perfis HTTP Strict devem configurar manualmente o parâmetro Http2SmallWndTimeout para 30 segundos, de forma a eliminar totalmente a vulnerabilidade. Até ao momento, não existem indícios de exploração ativa destas vulnerabilidades. A empresa de cibersegurança watchTowr Labs, que reportou uma das falhas, explica que a CVE-2026-8451 resulta do processamento de pedidos de autenticação SAML e partilha a mesma causa de uma vulnerabilidade divulgada em março deste ano. Embora a quantidade de memória exposta seja inferior, os investigadores alertam que o problema evidencia fragilidades persistentes na gestão de memória dos equipamentos NetScaler. |