Beveiligingsonderzoekers van het Schotse Lupovis melden dat kwaadwillenden binnen 24 uur na de publieke bekendmaking begonnen zijn met het misbruiken van een nieuwe kwetsbaarheid vergelijkbaar met CitrixBleed in NetScaler ADC en NetScaler Gateways. De kwetsbaarheid, geregistreerd als CVE-2026-8451 met een CVSS-score van 8.8, werd op 30 juni openbaar gemaakt, tegelijk met patches van Citrix en technische details gepubliceerd door het attack surface management bedrijf watchTowr.

Het beveiligingslek betreft een out-of-bounds read in de XML-parser van NetScaler-apparaten die als SAML Identity Provider (IDP) zijn geconfigureerd. Door een fout in de verwerking van onvolledig afgesloten XML-attributen, gevolgd door een nieuwe regel, leest de parser geheugen uit buiten de bedoelde buffer. Dit geheugen wordt vervolgens teruggegeven in de NSC_TASS-cookie in een HTTP-respons. Hoewel de kwetsbaarheid alleen actief is wanneer NetScaler als SAML IDP is ingesteld, is voor succesvolle exploitatie geen authenticatie vereist.

Na publicatie van de technische details en een detectie-artifact door watchTowr, constateerde Lupovis dat aanvallers direct begonnen met het scannen van kwetsbare NetScaler-instanties. De eerste scans kwamen van een IP-adres in Frankfurt, Duitsland, vermoedelijk een disposable of speciaal voor dit doel opgezet scanpunt. Binnen vijf uur werden meerdere Lupovis-sensoren aangevallen, waarbij direct een payload werd afgeleverd die overeenkomt met de overread-variant beschreven in de detectie-artifact generator.

Later werd een tweede dreigingsactor waargenomen die vanuit een Koapu Cloud IP-adres in Hong Kong eveneens NetScaler-instanties probeerde te bereiken. Beide partijen toonden hetzelfde gedrag: ze zochten het juiste eindpunt op en leverden direct de payload af na ontvangst van een 200 OK-respons met de juiste inhoud. Lupovis adviseert organisaties om hun NetScaler-apparaten onmiddellijk te patchen of, indien patchen niet mogelijk is, de SAML IDP-functionaliteit uit te schakelen. Daarnaast wordt aangeraden om logs te controleren op /saml/login-verkeer en de NSC_TASS-cookie te inspecteren om mogelijke exploitatie te detecteren.