Citrix publico el 23 de marzo un aviso por CVE-2026-3055, un fallo critico en los appliances NetScaler ADC y NetScaler Gateway con CVSS 9.3. El problema es una lectura de memoria fuera de lo previsto: una validacion de entrada insuficiente hace que el dispositivo devuelva trozos de su propia memoria a quien sabe pedirlo. Entre esos trozos pueden ir tokens de sesion validos, y con un token de sesion administrativa un atacante entra a la red sin necesidad de contrasena ni de pasar por el segundo factor.
A quien afecta
Solo son vulnerables los equipos configurados como proveedor de identidad SAML (SAML IdP). Si tu NetScaler no hace de IdP SAML, este CVE concreto no te toca, aunque conviene revisarlo de todas formas porque la configuracion cambia con el tiempo. Las versiones afectadas son:
- NetScaler ADC y Gateway 14.1 anteriores a 14.1-60.58
- NetScaler ADC y Gateway 13.1 anteriores a 13.1-62.23
- NetScaler ADC FIPS y NDcPP anteriores a 13.1-37.262
Las versiones 13.0 y 12.1 ya estan fuera de soporte y no reciben parche, asi que si sigues en esas ramas el unico camino real es migrar.
Como se explota
El ataque va contra el endpoint /saml/login. El atacante envia un SAMLRequest manipulado que omite el campo AssertionConsumerServiceURL, y el appliance responde filtrando contenido de memoria a traves de la cookie NSC_TASS. Repitiendo la peticion se van extrayendo fragmentos hasta dar con datos utiles. No hace falta estar autenticado ni tener ningun acceso previo, basta con llegar al dispositivo por la red.
Hay explotacion en el mundo real. CrowdSec observo las primeras trazas el 27 de marzo, pocos dias despues de la divulgacion, y CISA incluyo el fallo en su catalogo KEV con fecha limite del 2 de abril de 2026 para las agencias federales. El parecido con CitrixBleed le ha valido el apodo de “CitrixBleed 3” en varios analisis.
Que hacer
Actualiza a una version parcheada cuanto antes:
- Rama 14.1: 14.1-60.58 o posterior
- Rama 13.1: 13.1-62.23 o posterior
- FIPS / NDcPP: 13.1-37.262 o posterior
Parchear no basta por si solo. Si tu equipo estuvo expuesto, hay que asumir que ya se filtraron tokens de sesion, asi que despues de actualizar termina todas las sesiones activas (ICA, PCoIP, AAA y de gestion) para invalidar cualquier credencial robada. Revisa los registros en busca de peticiones raras contra /saml/login y, mientras no puedas parchear, limita el acceso al endpoint de SAML desde redes no confiables.
Citrix agrupo este aviso con CVE-2026-4368 en el boletin CTX696300, asi que al revisar conviene cubrir ambos.