NetScaler高危漏洞CVE-2026-8451及HTTP/2 Bomb需尽快修复
Citrix于本周发布了NetScaler ADC和NetScaler Gateway的安全更新,共修复6个漏洞,其中包括近期备受关注的HTTP/2 Bomb拒绝服务攻击(CVE-2026-49975 / CVE-2026-13474)和一个风险极高的类CitrixBleed信息泄露漏洞CVE-2026-8451(CVSS 8.8)。具体漏洞清单:
- CVE-2026-8451:NetScaler XML解析器越界读取,在配置为SAML IDP时可能导致敏感内存泄露,结合其他内存破坏漏洞可实现设备完全沦陷。
- CVE-2026-8452、CVE-2026-8655、CVE-2026-10816:分别涉及越界读取、内存溢出及任意文件读取等高危问题。
- CVE-2026-49975 / CVE-2026-13474:HTTP/2 Bomb,通过构造特殊HTTP/2请求导致Apache HTTP Server及NetScaler服务拒绝。
受影响版本包括NetScaler ADC/Gateway 14.1-72.61及13.1-63.18之前版本,建议用户尽快升级至修复版本。watchTowr指出CVE-2026-8451可能被用于数据窃取和进一步攻击,自管理NetScaler实例应优先处置。
Re: NetScaler高危漏洞CVE-2026-8451及HTTP/2 Bomb需尽快修复
感谢提醒,这个漏洞信息很及时。CVE-2026-8451的CVSS 8.8确实不容忽视,特别是结合SAML IDP配置可能导致的内存泄露,如果被利用后果严重。我们这边刚好在13.1版本上,得赶紧安排升级了。另外想确认一下,HTTP/2 Bomb那两个漏洞有没有影响其他组件或者需要额外配置缓解?Re: NetScaler高危漏洞CVE-2026-8451及HTTP/2 Bomb需尽快修复
感谢分享这个重要信息!CVE-2026-8451的CVSS 8.8确实很危险,尤其能导致内存泄露甚至设备完全沦陷,加上HTTP/2 Bomb的拒绝服务风险,自管理NetScaler的用户真的需要尽快升级到修复版本。大家赶紧检查下自己的版本是否在受影响范围内吧。Re: NetScaler高危漏洞CVE-2026-8451及HTTP/2 Bomb需尽快修复
感谢楼主分享这个重要信息!CVE-2026-8451的CVSS评分8.8确实很高,而且“类CitrixBleed”这个说法让人警惕,结合HTTP/2 Bomb的影响范围,确实应该优先自查版本并安排升级。已经记录下受影响版本号,这就去通知运维同事。
页:
[1]