La falla CVE-2026-3055 permite a atacantes no autenticados leer memoria sensible de appliances configurados como SAML Identity Provider. Parches disponibles para versiones 14.1 y 13.1.
Citrix publicó el 23 de marzo un boletín de seguridad crítico que corrige dos vulnerabilidades en NetScaler ADC y NetScaler Gateway, productos de entrega de aplicaciones y acceso remoto ampliamente desplegados en entornos empresariales de Latinoamérica. La más severa, identificada como CVE-2026-3055, alcanza un CVSS de 9.3 y permite a atacantes remotos no autenticados leer información sensible de la memoria del appliance.
La vulnerabilidad fue detectada internamente mediante revisiones de seguridad rutinarias, y aunque no existe evidencia de explotación activa ni código de prueba público, el historial de estos productos aconseja aplicar los parches de inmediato.
La falla crítica consiste en una lectura fuera de límites (out-of-bounds read) derivada de una validación insuficiente de entradas. Según el análisis de Rapid7, el defecto solo se activa cuando el appliance está configurado como SAML Identity Provider (SAML IDP), un rol común en organizaciones que implementan single sign-on. Las configuraciones por defecto no resultan afectadas. Los administradores pueden verificar si sus sistemas son vulnerables buscando la cadena add authentication samlIdPProfile .* en la configuración del NetScaler.
Las versiones afectadas incluyen NetScaler ADC y NetScaler Gateway 14.1 anteriores a 14.1-66.59, versiones 13.1 anteriores a 13.1-62.23, y las variantes FIPS y NDcPP anteriores a 13.1-37.262. Únicamente las instancias administradas por el cliente están expuestas; las instancias cloud gestionadas por Citrix no requieren acción.
El parche también resuelve CVE-2026-4368, una condición de carrera con CVSS 7.7 que puede causar mezcla de sesiones de usuario cuando el appliance opera como Gateway o servidor AAA.
El paralelismo con vulnerabilidades anteriores de Citrix es inquietante. Benjamin Harris, CEO de watchTowr, señala que CVE-2026-3055 "suena sospechosamente similar a CitrixBleed y CitrixBleed2", las fallas de 2023 y 2025 que permitieron a atacantes extraer cookies de sesión válidas y comprometer redes corporativas completas.
NetScaler ha sido históricamente un vector de acceso inicial muy utilizado por grupos de ransomware y actores de amenazas persistentes, lo que eleva la urgencia del parcheo incluso sin explotación activa confirmada.
Para organizaciones que no puedan actualizar de inmediato, NetScaler introdujo en la versión 14.1.60.52 la funcionalidad Global Deny List, que permite aplicar firmas de mitigación sin reiniciar el appliance. Citrix recomienda esta medida como paliativo temporal mientras se programa una ventana de mantenimiento para la actualización completa.
Los equipos de seguridad en LATAM deben priorizar la identificación de appliances con configuración SAML IDP —especialmente en sectores financiero, gubernamental y salud donde el single sign-on es estándar— y programar la actualización a las versiones 14.1-66.59 o 13.1-62.23 antes de 72 horas en entornos expuestos a internet. El advisory oficial CTX696300 detalla los pasos de verificación y los enlaces de descarga para cada plataforma afectada.
FUENTE ORIGINAL
Citrix↗CURADO POR
Alejandro Vargas