Citrix hat am 23. März 2026 ein Sicherheitsbulletin zu zwei Schwachstellen in NetScaler ADC und NetScaler Gateway veröffentlicht. Beide betreffen ausschliesslich selbst betriebene Installationen – wer die Cloud-verwalteten Dienste von Citrix nutzt, ist nicht betroffen.
Die schwerwiegendere Lücke, CVE-2026-3055, erhält einen CVSS-Score von 9.3 (kritisch) und betrifft Appliances, die als SAML Identity Provider konfiguriert sind. Durch eine fehlerhafte Eingabevalidierung kann ein Angreifer aus dem Netz ohne jede Authentifizierung einen Speicherlesefehler auslösen, der zur vollständigen Kompromittierung führen kann. Die zweite Schwachstelle, CVE-2026-4368 (CVSS 7.7), betrifft ausschliesslich Build 14.1-66.54 und kann bei Gateway- oder AAA-Konfigurationen dazu führen, dass Benutzersitzungen durch eine Race Condition vermischt werden – ein angemeldeter Nutzer könnte so Zugriff auf die Session einer anderen Person erhalten.
Bin ich betroffen? Für CVE-2026-3055 lässt sich das schnell prüfen: Wer in der NetScaler-Konfiguration den Eintrag add authentication samlIdPProfile findet, ist betroffen, sofern die Version älter als 14.1-60.58 bzw. 13.1-62.23 ist. Für CVE-2026-4368 genügt eine Suche nach add authentication vserver oder add vpn vserver – und die exakte Buildnummer 14.1-66.54.
Die Empfehlung ist klar: sofort auf 14.1-60.58, 14.1-66.59 oder neuer, respektive 13.1-62.23 oder neuer aktualisieren. Exploits sind bislang nicht öffentlich bekannt, aber bei einem CVSS von 9.3 ohne Authentifizierungserfordernis ist das Zeitfenster erfahrungsgemäss kurz.
Originalbulletin: Citrix CTX696300
