Die Schwachstelle CVE-2026-3055 betrifft Citrix NetScaler ADC und NetScaler Gateway und wird mit einem CVSS-Wert von 9,3 als kritisch eingestuft. Ursache ist eine unzureichende Eingabevalidierung, die einen Memory Overread ermöglicht. Über diesen Fehler könnte ein Angreifer potenziell sensible Informationen aus dem Speicher auslesen.

Nach Angaben von Citrix gelingt eine Ausnutzung nur, wenn das betroffene Gerät als SAML Identity Provider (SAML IDP) eingerichtet ist. Diese Einschränkung erklärt das Muster der derzeit beobachteten Angriffsvorbereitung: Angreifer versuchen offenbar zunächst herauszufinden, ob ein NetScaler-System tatsächlich in dieser Konfiguration betrieben wird.

Defused Cyber berichtete auf der Plattform X von entsprechender Aktivität. “Wir beobachten jetzt in freier Wildbahn das Fingerprinting von Authentifizierungsmethoden gegen NetScaler ADC/Gateway”, erklärte das Unternehmen. Angreifer fragten in den eigenen Citrix-Honeypots die Schnittstelle /cgi/GetAuthMethods ab, um die aktivierten Authentifizierungsabläufe aufzuzählen. Dies dürfte dem Zweck dienen, SAML-IDP-Konfigurationen aufzuspüren.

Mit einer ähnlichen Warnung meldete sich watchTowr zu Wort. Das Unternehmen hat nach eigenen Angaben aktive Aufklärung gegen NetScaler-Instanzen in seinem Honeypot-Netzwerk festgestellt. Eine Ausnutzung in freier Wildbahn könne damit jederzeit erfolgen. “Organisationen, die betroffene Citrix-NetScaler-Versionen in betroffenen Konfigurationen betreiben, müssen alles stehen und liegen lassen und sofort patchen”, so watchTowr. Sobald die Aufklärung der Angreifer in aktive Ausnutzung übergehe, schrumpfe das Zeitfenster zur Reaktion rapide.

Betroffen sind NetScaler ADC und NetScaler Gateway in den Versionen 14.1 vor 14.1-66.59 und 13.1 vor 13.1-62.23 sowie NetScaler ADC 13.1-FIPS und 13.1-NDcPP vor 13.1-37.262.

NetScaler-Systeme waren in den vergangenen Jahren wiederholt Ziel aktiv ausgenutzter Schwachstellen. Dazu zählen CVE-2023-4966 (Citrix Bleed), CVE-2025-5777 (Citrix Bleed 2), CVE-2025-6543 und CVE-2025-7775. Anwender sollten daher zügig auf die aktuellen Updates wechseln.