Citrix a récemment corrigé deux vulnérabilités affectant les appareils de mise en réseau NetScaler ADC et les solutions d’accès à distance sécurisé NetScaler Gateway. L’une de ces failles présente des similarités marquées avec les vulnérabilités CitrixBleed et CitrixBleed2, qui ont été exploitées lors d’attaques zero-day par le passé.
Le bug critique, référencé comme CVE-2026-3055, provient d’une validation insuffisante des entrées, pouvant entraîner une surlecture de mémoire sur les appareils configurés en tant que fournisseur d’identité SAML. Cela peut potentiellement permettre à des attaquants distants, même sans privilèges, de voler des informations sensibles telles que des jetons de session.
Dans un avertissement diffusé lundi, la Cloud Software Group a vivement recommandé aux clients concernés d’installer rapidement les versions mises à jour de NetScaler ADC et NetScaler Gateway.
Citrix a également mis à jour la vulnérabilité CVE-2026-4368 qui affecte les appareils agissant en tant que passerelles. Cette faille permet à des acteurs malveillants ayant des privilèges limités d’exploiter une condition de course lors d’attaques peu complexes, entraînant potentiellement des confusions dans les sessions utilisateurs.
Les deux vulnérabilités touchent les versions 13.1 et 14.1 de NetScaler ADC et NetScaler Gateway (corrigées respectivement dans les versions 13.1-62.23 et 14.1-66.59), ainsi que NetScaler ADC 13.1-FIPS et 13.1-NDcPP (réglées dans 13.1-37.262).
Le groupe de surveillance de la sécurité Internet Shadowserver suit actuellement plus de 30 000 instances de NetScaler ADC et plus de 2 300 instances de Gateway exposées en ligne. Cependant, il n’existe pas d’informations précises sur le nombre de ces systèmes utilisant des configurations vulnérables ou ayant déjà été corrigés.
Suite à la publication des mises à jour de sécurité, plusieurs entreprises de cybersécurité ont averti de l’importance de sécuriser NetScaler contre les attaques visant CVE-2026-3055. Elles notent des ressemblances avec les vulnérabilités CitrixBleed et CitrixBleed2, qui ont été largement exploitées dans des attaques antérieures.
La société watchTowr a commenté : « Malheureusement, beaucoup identifieront cette nouvelle vulnérabilité comme similaire à celle largement exploitée appelée CitrixBleed en 2023 et à la variante CitrixBleed2 révélée en 2025, qui ont été et continuent d’être utilisées dans des attaques réelles. »
Un autre expert de Rapid7 a souligné que l’exploitation de CVE-2026-3055 pourrait se produire dès que le code d’exploitation deviendra public, rendant crucial pour les clients utilisant des systèmes Citrix affectés d’appliquer rapidement les correctifs. Les vulnérabilités de fuite de mémoire ont déjà été exploitées dans la nature, y compris la notoire CitrixBleed (CVE-2023-4966), en 2023.
En août 2025, la CISA a identifié CitrixBleed2 comme activement exploitée et a donné une journée aux agences fédérales pour sécuriser leurs systèmes. Au total, l’agence de cybersécurité des États-Unis a révélé que 21 vulnérabilités Citrix avaient été exploitées dans la nature, dont sept ont été utilisées dans des attaques de ransomware.