Citrix heeft twee kwetsbaarheden gepatcht in de NetScaler-software. Een van die kwetsbaarheden lijkt veel op de eerdere Citrixbleed-lekken waarmee vorig jaar onder meer het Nederlandse Openbaar Ministerie werd gehackt. Citrix spoort beheerders aan de software zo snel mogelijk te updaten.
De kritieke kwetsbaarheid CVE-2026-3055 is het gevolg van gebrekkige invoervalidatie bij de SAML-identityprovider. Deze dienst controleert de identiteit van de gebruiker en geeft deze vervolgens door aan andere software, waardoor single sign-on mogelijk wordt. De gebrekkige invoervalidatie kan leiden tot memory overread, waardoor mogelijk gevoelige data kan uitlekken.
De kwetsbaarheid heeft een CVSS-score van 9,3 gekregen. Het lek treft alle NetScaler ADC-versies en NetScaler Gateway-versies voor 14.1-60.58 en 13.1-62.23. Het bedrijf dringt er bij klanten met dergelijke versies 'sterk op aan' om zo snel mogelijk updates uit te voeren.
Citrix waarschuwt ook voor de kwetsbaarheid CVE-2026-4368, die een CVSS-score van 7,7 heeft. Het gaat hierbij om een race condition, waarbij software onvoorspelbaar gedrag vertoont als meerdere processen of threads tegelijkertijd proberen gedeelde data te wijzigen en op te halen. Dit kan er in dit geval toe leiden dat de sessies van gebruikers onbedoeld worden verwisseld. Deze bug doet zich alleen voor in NetScaler-versie 14.1-66.54 op apparaten die geconfigureerd zijn als gateway of als virtual server voor Authentication, Authorization and Accounting (AAA).
:strip_exif()/i/2007988822.jpeg?f=imagenormal)
/i/2007634934.webp?f=fpa)
/i/2005822240.png?f=fpa)
/i/2004692394.png?f=fpa)
/u/246423/crop5979eb9e5c60f_cropped.png?f=community){kind=small}
:strip_exif()/u/609320/crop5b6ae539e2dcd_cropped.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/56108/STRESSED_1.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/230602/crop6924f1aebe80f_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/216854/crop5c1bbcb02dcee_cropped.jpeg?f=community){kind=small}