Kritische Schwachstellen in NetScaler ADC und Gateway – sofortiges Update erforderlich

Citrix hat am 23. März 2026 ein Sicherheitsbulletin zu zwei Schwachstellen in NetScaler ADC und NetScaler Gateway veröffentlicht. Beide betreffen ausschliesslich selbst betriebene Installationen – wer die Cloud-verwalteten Dienste von Citrix nutzt, ist nicht betroffen.

Die schwerwiegendere Lücke, CVE-2026-3055, erhält einen CVSS-Score von 9.3 (kritisch) und betrifft Appliances, die als SAML Identity Provider konfiguriert sind. Durch eine fehlerhafte Eingabevalidierung kann ein Angreifer aus dem Netz ohne jede Authentifizierung einen Speicherlesefehler auslösen, der zur vollständigen Kompromittierung führen kann. Die zweite Schwachstelle, CVE-2026-4368 (CVSS 7.7), betrifft ausschliesslich Build 14.1-66.54 und kann bei Gateway- oder AAA-Konfigurationen dazu führen, dass Benutzersitzungen durch eine Race Condition vermischt werden – ein angemeldeter Nutzer könnte so Zugriff auf die Session einer anderen Person erhalten.

Bin ich betroffen? Für CVE-2026-3055 lässt sich das schnell prüfen: Wer in der NetScaler-Konfiguration den Eintrag add authentication samlIdPProfile findet, ist betroffen, sofern die Version älter als 14.1-60.58 bzw. 13.1-62.23 ist. Für CVE-2026-4368 genügt eine Suche nach add authentication vserver oder add vpn vserver – und die exakte Buildnummer 14.1-66.54.

Die Empfehlung ist klar: sofort auf 14.1-60.58, 14.1-66.59 oder neuer, respektive 13.1-62.23 oder neuer aktualisieren. Exploits sind bislang nicht öffentlich bekannt, aber bei einem CVSS von 9.3 ohne Authentifizierungserfordernis ist das Zeitfenster erfahrungsgemäss kurz.

Originalbulletin: Citrix CTX696300

Related Posts

Axios npm-Paket kompromittiert – Angreifer schleusen Trojaner ein

Am 31. März 2026 wurden zwei Versionen des weit verbreiteten JavaScript-HTTP-Clients Axios (1.14.1 und 0.30.4) mit Schadsoftware verseucht. Ein Angreifer hatte sich Zugang zum npm-Konto des Hauptentwicklers verschafft und darüber gefälschte Paketversionen veröffentlicht, die eine bösartige Abhängigkeit namens „plain-crypto-js" einschleussen. Dieses Paket lädt beim Installieren automatisch einen Fernzugriffs-Trojaner (RAT) auf macOS, Windows und Linux herunter – ohne dass eine einzige Zeile im eigentlichen Axios-Code verändert wurde. Die Spuren wurden anschliessend gezielt verwischt. Mit über 83 Millionen wöchentlichen Downloads ist Axios eines der meistgenutzten Pakete im JavaScript-Ökosystem.

Read More

Cyberangriff auf Europa.eu – Kommission bestätigt Datendiebstahl

Am 24. März 2026 entdeckte die Europäische Kommission einen Angriff auf die Cloud-Infrastruktur, auf der die öffentlichen Websites unter europa.eu betrieben werden. Drei Tage später, am 27. März, informierte sie die Öffentlichkeit. Erste Untersuchungsergebnisse bestätigen, dass Daten von diesen Webseiten gestohlen wurden. Die internen Systeme der Kommission seien laut eigenen Angaben nicht betroffen gewesen, und die Verfügbarkeit der Websites wurde nicht unterbrochen. Betroffene EU-Einrichtungen werden derzeit direkt benachrichtigt.

Read More

Buffer-Overflow in Ruby-Gem Zlib – Update erforderlich

In der Ruby-Standardbibliothek wurde eine Sicherheitslücke (CVE-2026-27820) im Zlib-Gem entdeckt, konkret in der Klasse Zlib::GzipReader. Ein Buffer Overflow in der internen Funktion zstream_buffer_ungets kann zu Speicherkorruption führen: Die Funktion verschiebt vorhandene Ausgabedaten im Speicher, ohne vorher sicherzustellen, dass der zugrundeliegende Ruby-String ausreichend Kapazität hat. Das Ergebnis ist ein klassischer Heap-basierter Pufferüberlauf – ein Fehlertyp, der in der Vergangenheit häufig zur Codeausführung missbraucht wurde, auch wenn ein konkreter Exploit bisher nicht öffentlich bekannt ist.

Read More