Se han descubierto vulnerabilidades de severidad crítica en productos Citrix. Un actor malicioso podría acceder a información confidencial o eludir los mecanismos de autenticación en las instancias afectadas.
Productos afectados
NetScaler ADC y NetScaler Gateway:
- Versiones 14.1-x anteriores a 14.1-66.59.
- Versiones 13.1-x anteriores a 13.1-62.23.
- Versiones de NetScaler ADC FIPS y NDcPP anteriores a 13.1-37.262.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-3055: con una puntuación de 9.3 en CVSS v4.0. Existe una vulnerabilidad de lectura fuera de límites debido a una validación de entrada insuficiente. Un actor malicioso remoto podría realizar una lectura excesiva de la memoria del sistema cuando el dispositivo está configurado como un proveedor de identidad SAML.
CVE-2026-4368: con una puntuación de 7.7 en CVSS v4.0. Existe una vulnerabilidad de condición de carrera en configuraciones de puerta de enlace (SSL VPN, ICA Proxy, CVPN, RDP Proxy) o servidores virtuales AAA. Un actor malicioso remoto autenticado podría provocar una mezcla de sesiones de usuario, comprometiendo la integridad y confidencialidad de los datos de otros usuarios.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias