Die als kritisch eingestufte Schwachstelle CVE-2026-3055 beschreibt Rapid7 als Out-of-Bounds-Read: Ein nicht authentifizierter Angreifer kann aus der Ferne potenziell sensible Informationen aus dem Speicher des betroffenen Geräts auslesen. Voraussetzung für eine erfolgreiche Ausnutzung ist allerdings, dass das Citrix-ADC- oder Citrix-Gateway-Gerät als SAML Identity Provider (SAML IDP) konfiguriert ist. Standardkonfigurationen sind damit nicht angreifbar.
Um festzustellen, ob ein Gerät als SAML-IDP-Profil eingerichtet ist, empfiehlt Citrix den Kunden, die NetScaler-Konfiguration auf die Zeichenfolge “add authentication samlIdPProfile .*” zu prüfen.
Die zweite Lücke, CVE-2026-4368, betrifft Geräte, die als Gateway konfiguriert sind — also als SSL VPN, ICA Proxy, CVPN oder RDP Proxy — oder als AAA-Server für Authentifizierung, Autorisierung und Abrechnung. Auch hier können Kunden anhand der NetScaler-Konfiguration prüfen, ob ihre Geräte in einer dieser Rollen laufen.
Verwundbar sind NetScaler ADC und NetScaler Gateway in den Versionen 14.1 vor 14.1-66.59 und 13.1 vor 13.1-62.23 sowie NetScaler ADC 13.1-FIPS und 13.1-NDcPP vor 13.1-37.262. Nutzern wird geraten, die neuesten Updates möglichst zeitnah einzuspielen.
Eine Ausnutzung der beiden Schwachstellen in freier Wildbahn ist bislang nicht bekannt. Allerdings sind Sicherheitslücken in NetScaler-Geräten in der Vergangenheit wiederholt von Angreifern ausgenutzt worden — darunter CVE-2023-4966 (bekannt als Citrix Bleed), CVE-2025-5777 (Citrix Bleed 2), CVE-2025-6543 und CVE-2025-7775.
Benjamin Harris, CEO und Gründer von watchTowr, zog gegenüber The Hacker News eine deutliche Parallele: CVE-2026-3055 erlaube nicht authentifizierten Angreifern, sensiblen Speicher aus NetScaler-ADC-Installationen auszulesen. Das klinge nicht ohne Grund vertraut — die Lücke erinnere stark an Citrix Bleed und Citrix Bleed 2, die für viele bis heute ein Trauma darstellten.
NetScaler-Systeme seien kritische Komponenten, die kontinuierlich als Einfallstor in Unternehmensumgebungen ins Visier genommen würden, so Harris weiter. Obwohl das Advisory gerade erst veröffentlicht wurde, müssten Verteidiger schnell reagieren. Wer betroffene Versionen einsetze, solle dringend patchen; eine baldige Ausnutzung sei sehr wahrscheinlich.
