Die Schwachstelle betrifft NetScaler ADC und NetScaler Gateway. Sie tritt auf, wenn für ein virtuelles Serverangebot – etwa für Lastverteilung (LB), Content Switching (CS) oder VPN-Zugriff – beziehungsweise für einen konfigurierten Dienst das HTTP/2-Protokoll im zugehörigen HTTP-Profil aktiviert und dem virtuellen Server zugeordnet ist. Ein Angreifer kann dann gezielt fehlerhaft aufgebaute HTTP/2-Anfragen an das Gerät senden. Die Verarbeitung dieser manipulierten Anfragen bringt das System aus dem Tritt und führt zu einer Dienstverweigerung (Denial of Service): Das betroffene Angebot verarbeitet legitimen Datenverkehr nicht mehr ordnungsgemäß und kann ausfallen. Da NetScaler-Systeme typischerweise als zentrale Netzzugangs- und Lastverteilungskomponenten an exponierter Stelle vor Anwendungen stehen, kann ein solcher Ausfall die Erreichbarkeit ganzer dahinterliegender Dienste beeinträchtigen. Anfällig sind ausschließlich Konfigurationen, bei denen HTTP/2 tatsächlich eingeschaltet ist.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel Citrix schließt sechs Schwachstellen in NetScaler ADC und Gateway 01.07.2026
- Artikel Citrix schließt sechs NetScaler-Lücken, darunter „HTTP/2 Bomb“ 01.07.2026