Op 23 maart 2026 heeft Citrix een security advisory gepubliceerd waarin meerdere kwetsbaarheden in NetScaler ADC en NetScaler Gateway worden beschreven. Deze kwetsbaarheden kunnen onder bepaalde configuraties leiden tot het lekken van gevoelige informatie en het verwisselen van gebruikerssessies.

Er is op dit moment geen publiek bewijs van actieve exploitatie. Desondanks wordt sterk aanbevolen om getroffen gateways zo snel mogelijk te updaten, met prioriteit voor systemen die direct aan het internet zijn blootgesteld. Daarnaast wordt geadviseerd om bewijsmateriaal veilig te stellen voor mogelijke vervolgonderzoeken.

De advisory beschrijft twee specifieke kwetsbaarheden. CVE-2026-3055, met een CVSS-score van 9.3, betreft een out-of-bounds read die kan leiden tot het uitlezen van geheugengegevens. Dit treft systemen die als SAML Identity Provider (IdP) zijn geconfigureerd. De tweede kwetsbaarheid, CVE-2026-4368, met een CVSS-score van 7.7, is een raceconditie die kan resulteren in het verwisselen van gebruikerssessies, waardoor een gebruiker toegang kan krijgen tot de sessie van een ander. Deze kwetsbaarheid betreft systemen die als Gateway (zoals SSL VPN, ICA Proxy, CVPN, RDP proxy) of AAA virtual server zijn ingesteld.

De kwetsbaarheden treffen NetScaler ADC en NetScaler Gateway versies vóór 14.1-66.59, 13.1-62.23 en 13.1-37.262 (FIPS en NDcPP, alleen NetScaler ADC). Daarnaast is er een bekend probleem in builds 14.1-66.54 en 14.1-66.59 met betrekking tot de STA server binding configuratie, wat authenticatiestromen kan verstoren. Meer details zijn te vinden in de security advisory van Citrix.

CERT-EU adviseert om de toegang tot NetScaler Gateway en AAA virtual servers te beperken met netwerkcontroles zoals IP-allowlisting totdat patches zijn toegepast. Waar mogelijk kan de Global Deny List (GDL) mitigatie worden ingezet, die bescherming biedt zonder herstart van de appliances. Het is belangrijk om internet-blootgestelde systemen die als SAML IdP, Gateway of AAA virtual server zijn geconfigureerd, prioriteit te geven bij het patchen. Voorafgaand aan updates dienen snapshots van de appliances te worden genomen voor eventueel forensisch onderzoek. Na het updaten moeten alle actieve en persistente sessies worden beëindigd om misbruik van mogelijk gecompromitteerde sessietokens te voorkomen.