**Citrix** a corrigé deux vulnérabilités de sécurité affectant ses appliances réseau **NetScaler ADC** et ses solutions d'accès à distance sécurisé **NetScaler Gateway**. L'une de ces failles ressemble étroitement aux vulnérabilités **CitrixBleed** et **CitrixBleed2** qui ont été exploitées dans des attaques zero-day ces dernières années. ### CVE-2026-3055 : Une vulnérabilité critique de dépassement de lecture mémoire Le bug de sécurité critique, identifié comme **CVE-2026-3055**, découle d'une validation insuffisante des entrées. Cela peut entraîner un dépassement de lecture mémoire sur les appliances **Citrix ADC** ou **Citrix Gateway** configurées en tant que fournisseur d'identité (IDP) SAML. Une exploitation réussie pourrait permettre à des attaquants distants non privilégiés de voler des informations sensibles, telles que des jetons de session. « **Cloud Software Group** exhorte vivement les clients concernés de **NetScaler ADC** et **NetScaler Gateway** à installer les versions mises à jour pertinentes dès que possible », a averti la société dans un avis publié lundi. **Citrix** a également partagé des directives détaillées sur l'identification et la correction des instances **NetScaler** vulnérables. ### CVE-2026-4368 : Confusion de sessions utilisateur La deuxième vulnérabilité, **CVE-2026-4368**, affecte les appliances configurées en tant que passerelles (SSL VPN, ICA Proxy, CVPN, RDP proxy) ou serveurs virtuels AAA. Cette faille pourrait permettre à des acteurs malveillants disposant de privilèges faibles d'exploiter une condition de concurrence (race condition) lors d'attaques de faible complexité, entraînant potentiellement une confusion des sessions utilisateur. ### Versions affectées et correctifs Les deux vulnérabilités affectent les versions 13.1 et 14.1 de **NetScaler ADC** et **NetScaler Gateway** (corrigées dans les versions 13.1-62.23 et 14.1-66.59) ainsi que **NetScaler ADC** 13.1-FIPS et 13.1-NDcPP (corrigées dans les versions 13.1-37.262). ### Exposition et urgence **Shadowserver**, un groupe de surveillance de la sécurité Internet, suit actuellement plus de 30 000 instances de **NetScaler ADC** et plus de 2 300 instances de **Gateway** exposées en ligne. Le nombre d'instances utilisant des configurations vulnérables ou déjà corrigées reste inconnu.  *Instances de Citrix NetScaler ADC exposées en ligne (Shadowserver)* ### Échos de CitrixBleed Les entreprises de cybersécurité ont souligné les similitudes entre **CVE-2026-3055** et les vulnérabilités précédentes **CitrixBleed** et **CitrixBleed2**, qui ont été activement exploitées dans des attaques zero-day. watchTowr a noté : « Malheureusement, beaucoup reconnaîtront que cela ressemble à la vulnérabilité 'CitrixBleed' largement exploitée en 2023 et à la variante ultérieure 'CitrixBleed2' divulguée en 2025, toutes deux ayant été et continuant d'être activement utilisées dans des attaques réelles. » Rapid7 a ajouté : « L'exploitation de la CVE-2026-3055 est susceptible de se produire une fois que le code d'exploitation deviendra public. Par conséquent, il est crucial que les clients utilisant les systèmes **Citrix** affectés corrigent cette vulnérabilité dès que possible ; les logiciels **Citrix** ont déjà connu des vulnérabilités de fuite mémoire largement exploitées dans la nature, y compris la tristement célèbre vulnérabilité 'CitrixBleed', **CVE-2023-4966**, en 2023. » ### L'historique de la CISA avec les vulnérabilités Citrix En août 2025, la **CISA** a signalé **CitrixBleed2** comme étant activement exploité, donnant aux agences fédérales un jour pour corriger leurs systèmes. À ce jour, la **CISA** a marqué 21 vulnérabilités **Citrix** comme exploitées dans la nature, dont sept ont été utilisées dans des attaques de ransomware.