Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en NetScaler de Citrix

Fecha de publicación 03/07/2026
Identificador
INCIBE-2026-470
Importancia
4 - Alta
Recursos Afectados
  • NetScaler ADC y NetScaler Gateway 14.1 anteriores a 14.1-72.61;
  • NetScaler ADC y NetScaler Gateway 13.1 anteriores a 13.1-63.18;
  • FIPS de NetScaler ADC anteriores a 14.1-72.61 FIPS;
  • Compatibilidad con FIPS y NDcPP de NetScaler ADC anteriores a la versión 13.1-37.272.
Descripción

Citrix ha publicado 6 vulnerabilidades: 5 de severidad alta y 1 de severidad media que, en caso de ser explotadas, podrían permitir a un atacante leer la memoria, provocar un comportamiento impredecible o una denegación de servicio.

Solución

Cloud Software Group insta a los clientes afectados a que instalen las versiones actualizadas correspondientes.

  • NetScaler ADC y NetScaler Gateway versiones 14.1-72.61 y posteriores.
  • NetScaler ADC y NetScaler Gateway 13.1-63.18 y versiones posteriores de 13.1.
  • NetScaler ADC 14.1-FIPS 14.1-72.61 FIPS y versiones posteriores de 14.1-FIPS.
  • NetScaler ADC 13.1-FIPS y 13.1-NDcPP 13.1.37.272 y versiones posteriores de 13.1-FIPS y 13.1-NDcPP.
Detalle
  • CVE-2026-8451: validación de entrada insuficiente que provoca una lectura excesiva de la memoria.
  • CVE-2026-8452: vulnerabilidad por desbordamiento de memoria que provoca un comportamiento impredecible o erróneo y una denegación de servicio.
  • CVE-2026-8655: múltiples vulnerabilidades de desbordamiento de memoria que provocan un comportamiento impredecible o erróneo y una denegación de servicio.
  • CVE-2026-10816: lectura arbitraria de archivos (sin autenticación).
  • CVE-2026-13474: denegación de servicio mediante solicitudes HTTP/2 mal formadas.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-8451 Alta No Citrix
CVE-2026-8452 Alta No Citrix
CVE-2026-8655 Alta No Citrix
CVE-2026-10816 Alta No Citrix
CVE-2026-13474 Alta No Citrix
CVE-2026-10817 Media No Citrix