CitrixBleed To Infinity And Beyond (Citrix NetScaler Pre-Auth Memory Overread CVE-2026-8451)

watchTowr Labs discloses CVE-2026-8451, a pre-authentication memory overread vulnerability in Citrix NetScaler ADC and Gateway when configured as a SAML Identity Provider. The bug stems from a custom XML attribute parser that fails to recognize newlines as terminators for unquoted attribute values, allowing the parser to read beyond the intended buffer boundary. Crafted SAML AuthnRequest payloads cause the overread data — including what appears to be process memory and a potential pointer leak — to be returned to the attacker via the NSC_TASS cookie. The vulnerability also enables a denial-of-service crash of the nsppe process. This is the latest in a recurring class of CitrixBleed memory disclosure bugs. Affected versions include NetScaler ADC/Gateway 14.1 before 14.1-72.61 and 13.1 before 13.1-63.18. Patches and a detection script are available.

Nguồn: https://labs.watchtowr.com/citrixbleed-to-infinity-and-beyond-citrix-netscaler-pre-auth-memory-overread-cve-2026-8451. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.

Đề xuất cho bạn

GitGuardian1 Hot8 phút9 giờ trướcAI

IEEE Cloud Summit 2026: The Tunnels No One Mapped

IEEE Cloud Summit 2026 tập trung vào bảo mật và kiến trúc cho hệ thống AI agent, với những chia sẻ từ Salesforce về agent Kubernetes tự động hóa, AWS giới thiệu bảo mật ngữ cảnh cho agent, cùng công cụ AgentTrace giúp truy vết hành động của agent. Ba vấn đề chính nổi lên là quyền hạn quá mức của các danh tính phi con người, hệ thống xác suất chỉ nên xử lý nhiệm vụ mơ hồ, và khả năng truy xuất nguồn gốc phải là tiêu chuẩn thiết kế bắt buộc cho hệ thống agent.

Lập trình viên nên đọc bài này để hiểu cách ứng dụng kỹ thuật phân tích chính xác, bảo mật context-aware và tra cứu forensics trong các hệ thống AI agent, từ đó nâng cao kiến thức về cách xây dựng và bảo vệ các giải pháp cloud hiện đại, đặc biệt là khi triển khai các ứng dụng tự động hóa có độ tin cậy cao.