**Citrix** hat zwei Sicherheitslücken geschlossen, die seine **NetScaler ADC**-Netzwerkgeräte und **NetScaler Gateway**-Lösungen für sicheren Fernzugriff betreffen. Eine dieser Lücken ähnelt stark den **CitrixBleed**- und **CitrixBleed2**-Schwachstellen, die in den letzten Jahren bei 0-Day-Angriffen ausgenutzt wurden. ### CVE-2026-3055: Eine kritische Memory-Overread-Schwachstelle Der kritische Sicherheitsfehler, der als **CVE-2026-3055** verfolgt wird, resultiert aus einer unzureichenden Eingabevalidierung. Dies kann zu einem Memory Overread auf **Citrix ADC**- oder **Citrix Gateway**-Appliances führen, die als SAML Identity Provider (IDP) konfiguriert sind. Eine erfolgreiche Ausnutzung könnte es entfernten, nicht privilegierten Angreifern ermöglichen, sensible Informationen wie Sitzungstoken zu stehlen. "**Cloud Software Group** fordert betroffene Kunden von **NetScaler ADC** und **NetScaler Gateway** dringend auf, die entsprechenden aktualisierten Versionen so schnell wie möglich zu installieren", warnte das Unternehmen in einem am Montag veröffentlichten Advisory. **Citrix** hat auch detaillierte Anleitungen zur Identifizierung und Behebung anfälliger **NetScaler**-Instanzen bereitgestellt. ### CVE-2026-4368: Verwechslung von Benutzersitzungen Die zweite Schwachstelle, **CVE-2026-4368**, betrifft Appliances, die als Gateways (SSL VPN, ICA Proxy, CVPN, RDP Proxy) oder AAA-virtuelle Server konfiguriert sind. Diese Lücke könnte es Bedrohungsakteuren mit geringen Privilegien ermöglichen, eine Race Condition bei Angriffen mit geringer Komplexität auszunutzen, was potenziell zu Verwechslungen von Benutzersitzungen führen könnte. ### Betroffene Versionen und Patches Beide Schwachstellen betreffen **NetScaler ADC** und **NetScaler Gateway**-Versionen 13.1 und 14.1 (behoben in 13.1-62.23 und 14.1-66.59) sowie **NetScaler ADC** 13.1-FIPS und 13.1-NDcPP (behoben in 13.1-37.262). ### Exposition und Dringlichkeit **Shadowserver**, eine Internet-Sicherheitsüberwachungsgruppe, verfolgt derzeit über 30.000 **NetScaler ADC**-Instanzen und mehr als 2.300 **Gateway**-Instanzen, die online exponiert sind. Die Anzahl der Instanzen mit anfälligen Konfigurationen oder bereits gepatchten Instanzen bleibt unbekannt.  *Citrix NetScaler ADC-Instanzen online exponiert (Shadowserver)* ### Echos von CitrixBleed Cybersicherheitsfirmen haben die Ähnlichkeiten zwischen **CVE-2026-3055** und den früheren **CitrixBleed**- und **CitrixBleed2**-Schwachstellen hervorgehoben, die aktiv bei 0-Day-Angriffen ausgenutzt wurden. watchTowr bemerkte: "Leider werden viele dies als ähnlich zur weit verbreiteten 'CitrixBleed'-Schwachstelle von 2023 und der nachfolgenden 'CitrixBleed2'-Variante, die 2025 bekannt gegeben wurde, erkennen, die beide aktiv in realen Angriffen ausgenutzt wurden und weiterhin ausgenutzt werden." Rapid7 fügte hinzu: "Die Ausnutzung von CVE-2026-3055 wird wahrscheinlich erfolgen, sobald Exploit-Code öffentlich verfügbar ist. Daher ist es für Kunden, die betroffene **Citrix**-Systeme betreiben, unerlässlich, diese Schwachstelle so schnell wie möglich zu beheben; **Citrix**-Software hat in der Vergangenheit bereits Memory-Leak-Schwachstellen gesehen, die breitflächig in freier Wildbahn ausgenutzt wurden, einschließlich der berüchtigten 'CitrixBleed'-Schwachstelle, **CVE-2023-4966**, im Jahr 2023." ### CISA's Geschichte mit Citrix-Schwachstellen Im August 2025 kennzeichnete **CISA** **CitrixBleed2** als aktiv ausgenutzt und gab Bundesbehörden einen Tag Zeit, ihre Systeme zu patchen. Bis heute hat **CISA** 21 **Citrix**-Schwachstellen als in freier Wildbahn ausgenutzt eingestuft, wobei sieben davon in Ransomware-Angriffen verwendet wurden.