Citrix va publicar el 23 de marc un avis per CVE-2026-3055, una fallada critica als appliances NetScaler ADC i NetScaler Gateway amb CVSS 9.3. El problema es una lectura de memoria fora del que estava previst: una validacio d’entrada insuficient fa que el dispositiu retorni trossos de la seva propia memoria a qui sap demanar-los. Entre aquests trossos hi poden anar tokens de sessio valids, i amb un token de sessio administrativa un atacant entra a la xarxa sense contrasenya i sense passar pel segon factor.
A qui afecta
Nomes son vulnerables els equips configurats com a proveidor d’identitat SAML (SAML IdP). Si el teu NetScaler no fa d’IdP SAML, aquest CVE concret no t’afecta, encara que val la pena revisar-ho igualment perque la configuracio canvia amb el temps. Les versions afectades son:
- NetScaler ADC i Gateway 14.1 anteriors a 14.1-60.58
- NetScaler ADC i Gateway 13.1 anteriors a 13.1-62.23
- NetScaler ADC FIPS i NDcPP anteriors a 13.1-37.262
Les versions 13.0 i 12.1 ja estan fora de suport i no reben pegat, aixi que si encara estas en aquestes branques l’unic cami real es migrar.
Com s’explota
L’atac va contra l’endpoint /saml/login. L’atacant envia un SAMLRequest manipulat que omet el camp AssertionConsumerServiceURL, i l’appliance respon filtrant contingut de memoria a traves de la cookie NSC_TASS. Repetint la peticio es van extraient fragments fins a trobar dades utils. No cal estar autenticat ni tenir cap acces previ; n’hi ha prou amb arribar al dispositiu per la xarxa.
Hi ha explotacio al mon real. CrowdSec va observar les primeres traces el 27 de marc, pocs dies despres de la divulgacio, i CISA va incloure la fallada al seu cataleg KEV amb data limit del 2 d’abril de 2026 per a les agencies federals. La semblanca amb CitrixBleed li ha valgut el sobrenom de “CitrixBleed 3” en diversos analisis.
Que cal fer
Actualitza a una versio pegada com mes aviat millor:
- Branca 14.1: 14.1-60.58 o posterior
- Branca 13.1: 13.1-62.23 o posterior
- FIPS / NDcPP: 13.1-37.262 o posterior
Pegar tot sol no n’hi ha prou. Si el teu equip va estar exposat, cal assumir que ja s’han filtrat tokens de sessio, aixi que despres d’actualitzar tanca totes les sessions actives (ICA, PCoIP, AAA i de gestio) per invalidar qualsevol credencial robada. Revisa els registres buscant peticions estranyes contra /saml/login i, mentre no puguis pegar, limita l’acces a l’endpoint de SAML des de xarxes no confiables.
Citrix va agrupar aquest avis amb CVE-2026-4368 al butlleti CTX696300, aixi que en revisar val la pena cobrir tots dos.