Citrix heeft beveiligingsupdates uitgebracht om twee kwetsbaarheden in NetScaler ADC en NetScaler Gateway op te lossen, waaronder een kritieke fout die kan worden misbruikt om gevoelige gegevens uit de applicatie te lekken.
De kwetsbaarheden worden hieronder vermeld:
- CVE-2026-3055 (CVSS-score: 9,3) – Onvoldoende invoervalidatie leidt tot geheugenoverlezen
- CVE-2026-4368 (CVSS-score: 7,7) – Raceconditie leidt tot verwisseling van gebruikerssessies
Cybersecuritybedrijf Rapid7 zei dat CVE-2026-3055 verwijst naar een out-of-bounds-lezing die door niet-geverifieerde externe aanvallers kan worden misbruikt om potentieel gevoelige informatie uit het geheugen van het apparaat te lekken.
Om de exploitatie succesvol te laten zijn, moet de Citrix ADC- of Citrix Gateway-appliance echter worden geconfigureerd als een SAML Identity Provider (SAML IDP), wat betekent dat de standaardconfiguraties onaangetast blijven. Om te bepalen of het apparaat is geconfigureerd als een SAML IDP-profiel, dringt Citrix er bij klanten op aan om hun NetScaler-configuratie te inspecteren op de opgegeven string: “add Authentication samlIdPProfile .*”
CVE-2026-4368 vereist daarentegen dat het apparaat wordt geconfigureerd als een gateway (dwz SSL VPN, ICA Proxy, CVPN en RDP Proxy) of een Authentication, Authorization, and Accounting (AAA) server. Klanten kunnen de NetScaler-configuratie controleren om na te gaan of hun apparaten zijn geconfigureerd als een van de knooppunten:
- AAA virtuele server – voeg authenticatie vserver toe.*
- Gateway – vpn vserver toevoegen.*
De kwetsbaarheden treffen NetScaler ADC en NetScaler Gateway versies 14.1 vóór 14.1-66.59 en 13.1 vóór 13.1-62.23, evenals NetScaler ADC 13.1-FIPS en 13.1-NDcPP vóór 13.1-37.262. Voor een optimale bescherming wordt gebruikers geadviseerd om zo snel mogelijk de nieuwste updates toe te passen.
Hoewel er geen bewijs is dat deze tekortkomingen in het wild zijn misbruikt, zijn beveiligingsfouten in NetScaler-apparaten herhaaldelijk uitgebuit door bedreigingsactoren (CVE-2023-4966, ook bekend als Citrix Bleed, CVE-2025-5777, ook bekend als Citrix Bleed 2, CVE-2025-6543 en CVE-2025-7775), waardoor het absoluut noodzakelijk is dat gebruikers stappen ondernemen om hun exemplaren.
“CVE-2026-3055 stelt niet-geauthenticeerde aanvallers in staat gevoelig geheugen van NetScaler ADC-implementaties te lekken en te lezen. Als het bekend klinkt, is dat omdat het zo is: deze kwetsbaarheid klinkt verdacht veel op Citrix Bleed en Citrix Bleed 2, die voor velen nog steeds een trauma-gebeurtenis vertegenwoordigen”, vertelde Benjamin Harris, CEO en oprichter van watchTowr, aan The Hacker News.
“NetScalers zijn kritieke oplossingen die voortdurend gericht zijn op initiële toegang tot bedrijfsomgevingen. Hoewel het advies net live is gegaan, moeten verdedigers snel handelen. Iedereen die getroffen versies draait, moet dringend een patch uitvoeren. Een dreigende exploitatie is zeer waarschijnlijk.”
