Citrix dicht kritiek NetScaler-lek dat lijkt op beruchte CitrixBleed

In dit artikel:

Citrix heeft twee beveiligingslekken in Netscaler (NetScaler ADC/Gateway) dichtgeplakt en roept beheerders op direct te updaten. De meest ernstige kwetsbaarheid, CVE-2026-3055 (CVSS 9,3), ontstaat door onvoldoende invoervalidatie binnen de SAML-identityprovider: dat kan leiden tot een memory overread en het weglekken van gevoelige data. Deze zwakte doet zich voor in alle NetScaler ADC-versies en in NetScaler Gateway-versies vóór 14.1-60.58 en 13.1-62.23.

De tweede fout, CVE-2026-4368 (CVSS 7,7), is een race condition die in bepaalde omstandigheden sessies van gebruikers kan verwisselen. Die bug treft alleen NetScaler 14.1-66.54 op systemen die als gateway zijn ingesteld of als virtual server voor Authentication, Authorization and Accounting (AAA) fungeren.

Omdat de ernstige CVE veel wegheeft van de eerdere “Citrixbleed”-problemen die vorig jaar onder andere het Nederlandse Openbaar Ministerie troffen, waarschuwt Citrix nadrukkelijk om zo snel mogelijk de gepubliceerde patches te installeren.