Die neu entdeckte Anfälligkeit stellt eine Out-of-Bounds-Read-Schwachstelle dar und ähnelt strukturell früheren kritischen Citrix-Lücken wie CitrixBleed und CitrixBleed2. Benjamin Harris, CEO des Sicherheitsunternehmens Watchtowr, betont die Gravität der Situation: Die Lücke könne es unauthentifizierten Angreifern ermöglichen, sensitiven Speicher aus verwundbaren Deployments auszulesen – und Exploits könnten sehr bald beginnen.
Citrix hat die Patches in den Versionen 14.1-66.59, 13.1-62.23 und 13.1-NDcPP 13.1.37.262 bereitgestellt. Gleichzeitig wurden mit diesen Updates auch CVE-2026-4368 behoben, eine High-Severity-Schwachstelle mit Racebedingung, die zu Session-Verwechslungen führen kann, wenn die Appliances als Gateways oder AAA Virtual Server funktionieren.
Experten betonen, dass die erforderliche SAML-IDP-Konfiguration in der Praxis weit verbreitet ist. Rapid7 warnt, dass Angriffe auf CVE-2026-3055 wahrscheinlich sofort nach Veröffentlichung von Exploitcode beginnen werden. Zwar gibt es derzeit keine bekannten Wild-Exploits und keinen öffentlich verfügbaren Proof-of-Concept, doch die Sicherheitscommunity rechnet mit rascher Eskalation.
NetScaler-Geräte sind hochattraktive Ziele für Cyberkriminelle, da sie häufig als Einfallstoren in Unternehmensnetze dienen. Unternehmen sollten ihre Konfigurationen überprüfen. Citrix empfiehlt, das verwendete NetScaler-System auf die spezifische Zeile „add authentication samlIdPProfile” hin zu untersuchen. Ist diese vorhanden, ist die Organisation betroffen und muss sofort patchen.
Sicherheitsexperten wie Harris machen deutlich: “NetScaler sind kritische Lösungen, die kontinuierlich für Initial Access in Unternehmensumgebungen angegriffen werden. Verteidiger müssen schnell handeln. Alle, die betroffene Versionen betreiben, müssen dringend aktualisieren. Unmittelbare Ausnutzung ist sehr wahrscheinlich.” Das Fehlen von Patches ist für Organisationen keine Option.