Nach Angaben von Citrix beheben die am Dienstag angekündigten Updates für NetScaler ADC und NetScaler Gateway sechs Sicherheitslücken. Vier davon werden unter den Kennungen CVE-2026-8451, CVE-2026-8452, CVE-2026-8655 und CVE-2026-10816 geführt und als hochriskante Fehler beschrieben, darunter Out-of-Bounds-Reads, Speicherüberläufe und ein beliebiges Auslesen von Dateien.

Als fünfte Schwachstelle nennt der Quelltext erneut CVE-2026-10816, diesmal als Out-of-Bounds-Read mit mittlerem Schweregrad. Die sechste Lücke ist „HTTP/2 Bomb“, ein Denial-of-Service-Exploit gegen den Apache HTTP Server.

Diese Schwachstelle wird als CVE-2026-49975 geführt und wurde mithilfe von OpenAIs Codex entdeckt. Laut Quelltext kombiniert „HTTP/2 Bomb“ bereits bekannte Angriffstechniken, um Webserver offline zu nehmen. Citrix hat dem Problem zusätzlich die NetScaler-spezifische Kennung CVE-2026-13474 zugewiesen.

Die Korrekturen sind in NetScaler ADC und NetScaler Gateway 14.1-72.61 sowie 13.1-63.18 enthalten. Außerdem hat Citrix die Lücken in NetScaler ADC FIPS 14.1-72.61 FIPS sowie in NetScaler ADC FIPS und NDcPP 13.1-37.272 geschlossen.

Citrix betont, dass für jede der Schwachstellen unterschiedliche, konfigurationsabhängige Voraussetzungen gelten. Kunden müssten daher prüfen, ob die jeweils verwundbaren Funktionen in ihren Installationen überhaupt aktiviert sind.

Besondere Aufmerksamkeit sollten Kunden laut dem Angriffssicherheitsunternehmen watchTowr CVE-2026-8451 widmen, die mit einem CVSS-Wert von 8,8 bewertet ist. watchTowr bezeichnet die Lücke als neuesten Fehler in der CitrixBleed-Reihe.

Wie watchTowr erläutert, betrifft der Fehler den XML-Parser von NetScaler. Dieser lese über die vorgesehenen Grenzen einzelner XML-Attributwerte hinaus. Dadurch könne NetScaler dazu gebracht werden, geschützte Speicherinhalte in einer HTTP-Antwort zurückzugeben.

Für eine erfolgreiche Ausnutzung muss die betroffene NetScaler-Instanz allerdings als SAML-IDP konfiguriert sein. Zudem muss die Anmeldeanfrage des Angreifers bestimmte Bedingungen erfüllen.

watchTowr zufolge könnte ein Angreifer über diese Schwachstelle Daten aus einem verwundbaren Gerät ausleiten, darunter einen Datenzeiger. In Kombination mit einem Speicherfehler könnte dies laut dem Unternehmen zu einer vollständigen Kompromittierung des Geräts führen.

Citrix rät Organisationen mit selbst verwalteten NetScaler ADC-, NetScaler Gateway- und Citrix Secure Private Access Hybrid-Bereitstellungen, die auf NetScaler-Instanzen basieren, die neuen Patches möglichst schnell einzuspielen.