**Citrix** ha abordado dos vulnerabilidades de seguridad que impactan sus appliances de red **NetScaler ADC** y sus soluciones de acceso remoto seguro **NetScaler Gateway**. Una de estas fallas refleja de cerca las vulnerabilidades **CitrixBleed** y **CitrixBleed2** que fueron explotadas en ataques zero-day en los últimos años. ### CVE-2026-3055: Una Vulnerabilidad Crítica de Sobreescritura de Memoria El error de seguridad crítico, rastreado como **CVE-2026-3055**, se origina en una validación de entrada insuficiente. Esto puede llevar a una sobrelectura de memoria en appliances **Citrix ADC** o **Citrix Gateway** configurados como un proveedor de identidad (IDP) SAML. La explotación exitosa podría permitir a atacantes remotos sin privilegios robar información confidencial, como tokens de sesión. "**Cloud Software Group** insta enérgicamente a los clientes afectados de **NetScaler ADC** y **NetScaler Gateway** a instalar las versiones actualizadas relevantes lo antes posible", advirtió la compañía en un aviso publicado el lunes. **Citrix** también ha compartido una guía detallada sobre cómo identificar y parchear instancias vulnerables de **NetScaler**. ### CVE-2026-4368: Mezcla de Sesiones de Usuario La segunda vulnerabilidad, **CVE-2026-4368**, afecta a los appliances configurados como Gateways (SSL VPN, ICA Proxy, CVPN, RDP proxy) o servidores virtuales AAA. Esta falla podría permitir a los actores de amenazas con bajos privilegios explotar una condición de carrera en ataques de baja complejidad, lo que podría llevar a la mezcla de sesiones de usuario. ### Versiones Afectadas y Parches Ambas vulnerabilidades afectan a las versiones 13.1 y 14.1 de **NetScaler ADC** y **NetScaler Gateway** (corregidas en 13.1-62.23 y 14.1-66.59) y a **NetScaler ADC** 13.1-FIPS y 13.1-NDcPP (abordadas en 13.1-37.262). ### Exposición y Urgencia **Shadowserver**, un grupo de vigilancia de seguridad en Internet, está rastreando actualmente más de 30.000 instancias de **NetScaler ADC** y más de 2.300 instancias de **Gateway** expuestas en línea. El número de instancias que utilizan configuraciones vulnerables o que ya han sido parcheadas sigue siendo desconocido.  *Instancias de Citrix NetScaler ADC expuestas en línea (Shadowserver)* ### Ecos de CitrixBleed Empresas de ciberseguridad han destacado las similitudes entre **CVE-2026-3055** y las vulnerabilidades anteriores **CitrixBleed** y **CitrixBleed2**, que fueron explotadas activamente en ataques zero-day. watchTowr señaló: "Desafortunadamente, muchos reconocerán que esto suena similar a la vulnerabilidad 'CitrixBleed' ampliamente explotada de 2023 y la variante posterior 'CitrixBleed2' revelada en 2025, ambas las cuales fueron y continúan siendo aprovechadas activamente en ataques del mundo real." Rapid7 agregó: "Es probable que la explotación de CVE-2026-3055 ocurra una vez que el código de explotación se haga público. Por lo tanto, es crucial que los clientes que ejecutan sistemas **Citrix** afectados remedien esta vulnerabilidad lo antes posible; el software **Citrix** ha visto previamente vulnerabilidades de fuga de memoria explotadas ampliamente en la naturaleza, incluida la infame vulnerabilidad 'CitrixBleed', **CVE-2023-4966**, en 2023." ### Historial de CISA con Vulnerabilidades de Citrix En agosto de 2025, **CISA** marcó **CitrixBleed2** como explotada activamente, dando a las agencias federales un solo día para parchear sus sistemas. Hasta la fecha, **CISA** ha etiquetado 21 vulnerabilidades de **Citrix** como explotadas en la naturaleza, y siete se han utilizado en ataques de ransomware.