Citrix hat an einem Montag Patches für eine kritische Schwachstelle in NetScaler ADC (vormals Citrix ADC) und NetScaler Gateway (vormals Citrix Gateway) bereitgestellt. Der Fehler wird als CVE-2026-3055 geführt und mit einem CVSS-Wert von 9,3 bewertet. Es handelt sich um einen Out-of-Bounds-Read, der zum Abfluss sensibler Speicherinhalte führen kann und sich aus der Ferne ohne Authentifizierung ausnutzen lässt.

Betroffen sind nur NetScaler-Installationen, die als SAML Identity Provider eingerichtet sind. Citrix nennt in seinem Advisory ein Prüfkriterium: Kunden können anhand der Zeichenkette “add authentication samlIdPProfile .*” in ihrer NetScaler-Konfiguration feststellen, ob ein Gerät als SAML-IDP-Profil konfiguriert ist.

Die Korrekturen sind in den NetScaler-Versionen 14.1-66.59, 13.1-62.23 und 13.1-NDcPP 13.1.37.262 enthalten. Mit demselben Update behebt Citrix außerdem CVE-2026-4368, eine als hoch eingestufte Race Condition, die zu einer Vermischung von Benutzersitzungen führen kann, wenn die Geräte als Gateways oder als AAA-Virtual-Server konfiguriert sind.

Nach Darstellung von Citrix wurde die kritische Schwachstelle bei laufenden internen Sicherheitsprüfungen entdeckt. Der Hersteller erwähnt keine Ausnutzung in freier Wildbahn, fordert Kunden aber auf, die Patches so rasch wie möglich einzuspielen.

Sicherheitsforscher warnen dennoch eindringlich. Benjamin Harris, CEO und Gründer von watchTowr, weist darauf hin, dass der Fehler “verdächtig ähnlich klingt wie CitrixBleed und CitrixBleed2, die für viele weiterhin ein traumatisches Ereignis darstellen”. Nach seiner Einschätzung könnte die Lücke nicht authentifizierten Angreifern erlauben, sensiblen Speicher aus verwundbaren Installationen auszulesen; mit einer baldigen Ausnutzung sei zu rechnen.

Auch Rapid7 betont, dass derzeit weder eine Ausnutzung in freier Wildbahn noch ein öffentlicher Proof-of-Concept bekannt sei, hält Angriffe auf CVE-2026-3055 aber für möglich, sobald Exploit-Code öffentlich wird. Das Unternehmen verweist zudem darauf, dass die für eine erfolgreiche Ausnutzung erforderliche SAML-IDP-Konfiguration bei Organisationen mit Single Sign-on sehr verbreitet sein dürfte.

“NetScaler-Systeme sind kritische Komponenten, die fortlaufend für den Erstzugang in Unternehmensumgebungen ins Visier genommen werden. Verteidiger müssen schnell handeln. Wer betroffene Versionen einsetzt, muss dringend patchen. Eine unmittelbar bevorstehende Ausnutzung ist sehr wahrscheinlich”, so Harris.