Citrix vydal 23. března 2026 bezpečnostní bulletin, který řeší dvě vážné zranitelnosti v NetScaler ADC a NetScaler Gateway (dříve Citrix ADC/Gateway).

CVE-2026-3055 (CVSS 9.3 – kritická)

Jedná se o chybu typu out-of-bounds read (nedostatečná validace vstupu vedoucí k přetečení čtení paměti). Zranitelnost postihuje pouze appliance nakonfigurované jako SAML Identity Provider (SAML IdP). Útočník bez autentizace může vzdáleně získat citlivá data z paměti zařízení – například aktivní session tokeny, přihlašovací údaje nebo jiné sensitive informace. Tato chyba navazuje na sérii podobných „Bleed“ zranitelností z předchozích let.

CVE-2026-4368 (CVSS 7.7 – vysoká)

Race condition, která může vést k smíchání uživatelských session (user session mix-up). Postihuje konfigurace fungující jako Gateway (SSL VPN, ICA Proxy, CVPN, RDP Proxy) nebo AAA virtual server. V extrémním případě by útočník s nízkými oprávněními mohl získat přístup k cizí autentizované session.