Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Citrix parchea seis fallas de NetScaler que provocan lecturas de archivos y denegación de servicio

OpenClaw finalmente está disponible en Android e iOS

El trío DeepMind detrás de la IA del póquer ahora gana dinero con fondos de cobertura cuantitativos

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Citrix parchea seis fallas de NetScaler que provocan lecturas de archivos y denegación de servicio
Identidad

Citrix parchea seis fallas de NetScaler que provocan lecturas de archivos y denegación de servicio

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 1, 2026No hay comentarios4 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Ravi Lakshmanan1 de julio de 2026Vulnerabilidades/Seguridad Empresarial

Citrix lanzó el martes actualizaciones de seguridad para abordar múltiples fallas en NetScaler ADC (anteriormente Citrix ADC) y NetScaler Gateway (anteriormente Citrix Gateway). Un atacante podría aprovechar estas fallas para leer fácilmente archivos arbitrarios o provocar una condición de denegación de servicio (DoS).

Las vulnerabilidades se enumeran a continuación:

CVE-2026-8451 (Puntuación CVSS: 8,8): vulnerabilidad de validación de entrada insuficiente que provoca una lectura excesiva de la memoria cuando un NetScaler ADC o NetScaler Gateway está configurado como un IDP de SAML CVE-2026-8452 (Puntuación CVSS: 8,8): Memoria que provoca un comportamiento impredecible o incorrecto o una denegación de servicio cuando el dispositivo está configurado como una vulnerabilidad de desbordamiento de IDP de SAML Gateway o servidor virtual AAA CVE-2026-8655 (Puntuación CVSS: 8,8): múltiples vulnerabilidades de desbordamiento de memoria cuando NetScaler ADC está configurado como una implementación de Oracle tipo LB, DNS Proxy o DNS Recursive Resolver, lo que resulta en un comportamiento impredecible o incorrecto o denegación de servicio. CVE-2026-10816 (Puntuación CVSS: 7,7): Vulnerabilidad de nombre de archivo en las rutas que conducen a lectura de archivos arbitrarios no autenticados CVE-2026-10817 (puntuación CVSS: 6,9): cuando se habilita el acceso a un NSIP controlado externamente, IP de administración de clúster o SNIP con acceso de administración de una puerta de enlace, la vulnerabilidad del nombre de archivo de ruta conduce a una lectura de archivos arbitrarios no autenticados CVE-2026-10817 (puntuación CVSS: 6,9) – Las marcas de tiempo TCP están habilitadas en el perfil TCP y el servidor virtual (tipo LB, CS, VPN) o servidor virtual (tipo LB, CS, VPN) NetScaler CVE-2026-13474 (puntuación CVSS: 8,7): vulnerabilidad de validación de entrada insuficiente que provoca una sobrelectura de memoria cuando se asocia con un servidor virtual (LB, CS, tipo VPN) o un servicio configurado de NetScaler con HTTP/2 habilitado en un perfil HTTP. La solicitud provocará una denegación de servicio.

Se han publicado parches para fallos de seguridad en las siguientes versiones:

NetScaler ADC y NetScaler Gateway 14.1-72.61 y versiones posteriores NetScaler ADC y NetScaler Gateway 13.1-63.18 y versiones posteriores 13.1 NetScaler ADC 14.1-FIPS 14.1-72.61 FIPS y versiones posteriores de 14.1-FIPS NetScaler ADC 13.1-FIPS y 13.1-NDcPP 13.1.37.272 y versiones posteriores de 13.1-FIPS y 13.1-NDcPP

Para CVE-2026-13474, también recomendamos actualizar su configuración cambiando el parámetro Http2SmallWndTimeout, que controla el tiempo de espera (en segundos) para las transmisiones detenidas en ventanas pequeñas de HTTP/2.

Para dispositivos que utilizan un perfil estricto HTTP, este parámetro tiene un valor predeterminado de 30 segundos. La solución entrará en vigor inmediatamente después de la actualización. Para los dispositivos que no utilizan perfiles estrictos HTTP, el valor predeterminado es 0. En este caso, simplemente actualizar a una compilación que incluya la solución no solucionará completamente la vulnerabilidad. Los clientes deben configurar manualmente Http2SmallWndTimeout en 30 segundos.

El comando para configurar este parámetro es el siguiente:

Establecer ns httpProfile -http2SmallWndTimeout

Cisco le da crédito a Michael Tucker del equipo XOR de JPMorgan Chase, a Aliz Hammond de watchTowr y a Maxim Suhanov por informar sobre esta vulnerabilidad. No hay evidencia de que este problema haya sido explotado en la naturaleza.

watchTowr Labs dijo en un documento técnico publicado con el boletín de seguridad de Citrix que CVE-2026-8451 fue descubierto e informado a fines de marzo de 2026 después de un intento de reproducir CVE-2026-3055 (puntaje CVSS: 9.3), otra falla de validación de entrada deficiente publicada a principios de este año.

La firma de ciberseguridad dijo que la vulnerabilidad se debe a la forma en que NetScaler analiza las solicitudes de autenticación SAML y comparte la misma causa raíz que la vulnerabilidad de marzo de 2026, lo que resulta en una lectura de memoria fuera de los límites al enviar una solicitud SAML con formato incorrecto.

«Lo que nos gustaría señalar es que, a diferencia del CVE-2026-3055 original, donde se podían filtrar kilobytes de datos binarios, esta sobrelectura finaliza una lectura fuera de límites cuando se leen varios caracteres de control como NULL (o >)», dijo el investigador de seguridad Hammond. «De hecho, descubrimos que al variar la longitud de la solicitud, podíamos extraer constantemente algunos bytes del servidor».

«Pero lo que preocupa es el panorama general. Esta tendencia sugiere muy claramente que la administración de memoria dentro de los dispositivos Citrix NetScaler sigue siendo vulnerable, e incluso si el dispositivo se configura mal accidentalmente, las pérdidas de memoria pueden quedar expuestas».

Los dispositivos Citrix se han convertido en un objetivo importante de ataques en los últimos años, con múltiples fallas en su software en el pasado que han sido explotadas por actores de amenazas para implementar ransomware, por lo que es importante que los usuarios los parcheen para una protección óptima.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleOpenClaw finalmente está disponible en Android e iOS
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Microsoft advierte que un agente de IA podría filtrar datos debido a una descripción maliciosa de una herramienta MCP

junio 30, 2026

Botnet RustDuck reconstruida con Rust para secuestrar enrutadores y servidores para DDoS

junio 30, 2026

Explotación de Langflow RCE para implementar Monero Miner en puntos finales de aplicaciones de IA publicadas

junio 30, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Citrix parchea seis fallas de NetScaler que provocan lecturas de archivos y denegación de servicio

OpenClaw finalmente está disponible en Android e iOS

El trío DeepMind detrás de la IA del póquer ahora gana dinero con fondos de cobertura cuantitativos

Google presenta una generación de imágenes más rápida y económica con Nano Banana 2 Lite

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.