Citrix heeft twee kwetsbaarheden in NetScaler ADC en NetScaler Gateway opgelost en dringt er bij beheerders op aan deze zo snel mogelijk te patchen. Eén van de kwetsbaarheden, CVE-2026-3055, vertoont sterke gelijkenissen met de eerder bekende CitrixBleed- en CitrixBleed2-fouten die in voorgaande jaren werden misbruikt in zero-day aanvallen. Deze kritieke bug ontstaat door onvoldoende inputvalidatie en kan leiden tot een geheugenoverlezing op apparaten die als SAML identity provider (IDP) zijn geconfigureerd. Hierdoor kunnen aanvallers zonder privileges gevoelige informatie zoals sessietokens stelen.

Cloud Software Group, het moederbedrijf van Citrix, waarschuwt klanten met NetScaler ADC en Gateway om de beschikbare updates direct te installeren. Citrix heeft tevens uitgebreide instructies gepubliceerd om kwetsbare NetScaler-installaties te identificeren en te patchen. Daarnaast is een tweede kwetsbaarheid, CVE-2026-4368, verholpen. Deze treft apparaten die als Gateway (zoals SSL VPN, ICA Proxy, CVPN, RDP proxy) of AAA virtual servers zijn ingesteld en kan door aanvallers met beperkte rechten worden misbruikt via een raceconditie, wat kan leiden tot sessiemix-ups bij gebruikers.

De kwetsbaarheden treffen NetScaler ADC en Gateway versies 13.1 en 14.1, met fixes beschikbaar in respectievelijk 13.1-62.23, 14.1-66.59 en 13.1-37.262 voor de FIPS- en NDcPP-varianten. De internetbeveiligingsorganisatie Shadowserver monitort momenteel meer dan 30.000 NetScaler ADC- en ruim 2.300 Gateway-instanties die online zijn blootgesteld, al is onbekend hoeveel hiervan kwetsbaar zijn of al gepatcht zijn.

Na de release van de patches waarschuwen diverse cybersecuritybedrijven dat het cruciaal is NetScaler-systemen te beveiligen tegen aanvallen gericht op CVE-2026-3055. De gelijkenissen met de CitrixBleed-kwetsbaarheden uit 2023 en 2025 zijn opvallend, waarbij exploitatie in het wild destijds tot ernstige incidenten leidde. Beveiligingsspecialisten verwachten dat kwaadwillenden de patch zullen analyseren om eigen exploits te ontwikkelen. Rapid7 benadrukt dat exploitatie waarschijnlijk zal toenemen zodra exploitcode publiek beschikbaar komt, en adviseert gebruikers dringend om de updates direct door te voeren.

In augustus 2025 werd CitrixBleed2 door de Amerikaanse CISA als actief misbruikt aangemerkt, met een strikte deadline voor federale instanties om hun systemen te beveiligen. In totaal heeft CISA 21 Citrix-kwetsbaarheden als actief misbruikt geregistreerd, waarvan zeven werden ingezet bij ransomware-aanvallen.