**Citrix** corrigiu duas vulnerabilidades de segurança que impactam seus appliances de rede **NetScaler ADC** e as soluções de acesso remoto seguro **NetScaler Gateway**. Uma dessas falhas espelha de perto as vulnerabilidades **CitrixBleed** e **CitrixBleed2**, que foram exploradas em ataques 0-day nos últimos anos. ### CVE-2026-3055: Uma Vulnerabilidade Crítica de Leitura de Memória O bug de segurança crítico, rastreado como **CVE-2026-3055**, decorre de validação insuficiente de entrada. Isso pode levar a uma leitura de memória em appliances **Citrix ADC** ou **Citrix Gateway** configurados como provedor de identidade (IDP) SAML. A exploração bem-sucedida poderia permitir que atacantes remotos sem privilégios roubassem informações confidenciais, como tokens de sessão. "A **Cloud Software Group** recomenda fortemente que os clientes afetados de **NetScaler ADC** e **NetScaler Gateway** instalem as versões atualizadas relevantes o mais rápido possível", alertou a empresa em um aviso divulgado na segunda-feira. A **Citrix** também compartilhou orientações detalhadas sobre como identificar e corrigir instâncias vulneráveis do **NetScaler**. ### CVE-2026-4368: Confusão de Sessões de Usuário A segunda vulnerabilidade, **CVE-2026-4368**, afeta appliances configurados como Gateways (SSL VPN, ICA Proxy, CVPN, RDP proxy) ou servidores virtuais AAA. Essa falha pode permitir que atores de ameaça com privilégios baixos explorem uma condição de corrida em ataques de baixa complexidade, potencialmente levando à confusão de sessões de usuário. ### Versões Afetadas e Correções Ambas as vulnerabilidades afetam as versões 13.1 e 14.1 do **NetScaler ADC** e **NetScaler Gateway** (corrigidas nas versões 13.1-62.23 e 14.1-66.59) e **NetScaler ADC** 13.1-FIPS e 13.1-NDcPP (abordadas na versão 13.1-37.262). ### Exposição e Urgência A **Shadowserver**, um grupo de vigilância de segurança da internet, está atualmente rastreando mais de 30.000 instâncias de **NetScaler ADC** e mais de 2.300 instâncias de **Gateway** expostas online. O número de instâncias usando configurações vulneráveis ou já corrigidas permanece desconhecido.  *Instâncias do Citrix NetScaler ADC expostas online (Shadowserver)* ### Ecos do CitrixBleed Empresas de cibersegurança destacaram as semelhanças entre **CVE-2026-3055** e as vulnerabilidades anteriores **CitrixBleed** e **CitrixBleed2**, que foram ativamente exploradas em ataques 0-day. A watchTowr observou: "Infelizmente, muitos reconhecerão isso como semelhante à vulnerabilidade 'CitrixBleed' amplamente explorada de 2023 e à variante subsequente 'CitrixBleed2' divulgada em 2025, ambas que foram e continuam sendo ativamente aproveitadas em ataques do mundo real." A Rapid7 acrescentou: "A exploração do CVE-2026-3055 provavelmente ocorrerá assim que o código de exploração se tornar público. Portanto, é crucial que os clientes que executam sistemas **Citrix** afetados corrijam essa vulnerabilidade o mais rápido possível; o software **Citrix** já viu vulnerabilidades de vazamento de memória amplamente exploradas em campo, incluindo a infame vulnerabilidade 'CitrixBleed', **CVE-2023-4966**, em 2023." ### Histórico da CISA com Vulnerabilidades Citrix Em agosto de 2025, a **CISA** marcou **CitrixBleed2** como ativamente explorada, dando às agências federais um único dia para corrigir seus sistemas. Até o momento, a **CISA** marcou 21 vulnerabilidades **Citrix** como exploradas em campo, com sete sendo usadas em ataques de ransomware.