Citrix hat zwei Schwachstellen in NetScaler ADC und NetScaler Gateway behoben. Die kritische CVE-2026-3055 entsteht durch unzureichende Eingabevalidierung und kann auf Geräten, die als SAML-Identitätsanbieter (IDP) konfiguriert sind, einen Speicher-Überlesefehler auslösen. Angreifer ohne Rechte könnten so aus der Ferne sensible Informationen wie Sitzungstokens entwenden.

u201eCloud Software Group fordert betroffene Kunden von NetScaler ADC und NetScaler Gateway nachdrücklich auf, die jeweils aktualisierten Versionen so schnell wie möglich zu installierenu201c, heißt es in einem Hinweis des Unternehmens vom Montag. Citrix hat zudem eine detaillierte Anleitung veröffentlicht, mit der sich für CVE-2026-3055 anfällige NetScaler-Instanzen erkennen und patchen lassen.

Die zweite behobene Lücke, CVE-2026-4368, betrifft Geräte, die als Gateways (SSL-VPN, ICA-Proxy, CVPN, RDP-Proxy) oder als AAA-virtuelle Server konfiguriert sind. Sie erlaubt Angreifern mit geringen Rechten auf dem Zielsystem, in wenig komplexen Angriffen eine Race Condition auszunutzen, was zu einer Vermischung von Benutzersitzungen führen kann.

Betroffen sind NetScaler ADC und NetScaler Gateway in den Versionen 13.1 und 14.1 (behoben in 13.1-62.23 und 14.1-66.59) sowie NetScaler ADC 13.1-FIPS und 13.1-NDcPP (behoben in 13.1-37.262).

Die Sicherheitsorganisation Shadowserver verfolgt derzeit über 30.000 online erreichbare NetScaler-ADC-Instanzen und mehr als 2.300 Gateway-Instanzen. Wie viele davon eine verwundbare Konfiguration nutzen oder bereits gepatcht sind, ist bislang nicht bekannt.

Mehrere Sicherheitsunternehmen verweisen auf die offensichtlichen Parallelen zu den Out-of-Bounds-Speicherlesefehlern CitrixBleed und CitrixBleed2. Das Unternehmen watchTowr erinnert daran, dass u201eviele dies als ähnlich zu der weit verbreitet ausgenutzten Schwachstelle ‚CitrixBleed‘ aus dem Jahr 2023 und der späteren Variante ‚CitrixBleed2‘ aus dem Jahr 2025 wiedererkennen werden, die beide in realen Angriffen aktiv genutzt wurden und weiterhin genutzt werdenu201c. Zwar gebe Citrix an, die Lücke intern entdeckt zu haben, doch sei zu erwarten, dass Angreifer versuchen, den Patch zurückzuentwickeln, um Exploit-Fähigkeiten zu entwickeln.

Rapid7 schätzt, dass eine Ausnutzung von CVE-2026-3055 wahrscheinlich erfolgt, sobald Exploit-Code öffentlich wird. Kunden mit betroffenen Citrix-Systemen sollten die Schwachstelle daher so schnell wie möglich beheben; Citrix-Software sei in der Vergangenheit von breit ausgenutzten Speicherleck-Schwachstellen betroffen gewesen, darunter CitrixBleed (CVE-2023-4966) im Jahr 2023.

Die US-Behörde CISA hatte CitrixBleed2 im August 2025 als aktiv ausgenutzt eingestuft und Bundesbehörden nur einen einzigen Tag zur Absicherung ihrer Systeme eingeräumt. Insgesamt hat die Behörde 21 Citrix-Schwachstellen als in freier Wildbahn ausgenutzt markiert, sieben davon kamen in Ransomware-Angriffen zum Einsatz.