CCN-CERT AV 02/26 Critical Vulnerabilities in Citrix NetScaler ADC and Gateway
Summary
CCN-CERT issued alert AV 02/26 warning of two actively exploited critical vulnerabilities in Citrix NetScaler ADC and NetScaler Gateway products. CVE-2026-3055 allows memory exfiltration via SAML IDP profiles; CVE-2026-4368 enables session hijacking via race condition on VPN and AAA configurations. Affected versions span NetScaler ADC and Gateway 13.1 before 13.1-62.23 and 14.1 before 14.1-66.59. CCN-CERT recommends immediate patching, network access restrictions, and session termination following updates.
“El CCN-CERT recomienda a todas las organizaciones instalar inmediatamente las versiones actualizadas y seguir los pasos de mitigación ofrecidos por el fabricante.”
Organizations running Citrix NetScaler ADC or Gateway in SAML IDP, VPN SSL, ICA proxy, CVPN, RDP proxy, or AAA configurations should treat this as an emergency patch cycle. The race condition in CVE-2026-4368 affecting session contexts means that even after patching, any sessions active during the vulnerable window may have been compromised — closing all persistent sessions post-patch is not optional. The Global Deny List (GDL) mitigation can be applied without a system restart and should be deployed as a first-line control while patching is underway.
About this source
GovPing monitors Spain CCN-CERT alt for new data privacy & cybersecurity regulatory changes. Every update since tracking began is archived, classified, and available as free RSS or email alerts — 3 changes logged to date.
What changed
CCN-CERT published alert AV 02/26 disclosing two critical vulnerabilities in Citrix NetScaler ADC and Gateway. CVE-2026-3055 (CVSS not stated) allows attackers to read reserved memory regions and exfiltrate confidential information; only devices configured as SAML IDP are affected. CVE-2026-4368 is a race condition vulnerability enabling session-context data exchange, affecting VPN SSL, ICA proxy, CVPN, RDP proxy, and AAA virtual server configurations. Patched versions are 14.1-66.59+, 13.1-62.23+, and 13.1-FIPS/NDcPP 13.1.37.262+. As mitigation without restart, the Global Deny List (GDL) can be applied.
Organizations running NetScaler ADC or Gateway should immediately verify whether their configurations contain the vulnerable patterns (add authentication samlIdPProfile, add authentication vserver, add vpn vserver) and apply patches as a priority. Network-level access restrictions should remain in place until patching is confirmed. All active sessions should be terminated post-patch to prevent token-reuse attacks. Threat actors are already exploiting these vulnerabilities, making rapid response critical.
What to do next
- Install the updated versions corresponding to each affected product.
- Restrict access to NetScaler Gateway and AAA virtual servers via network-level controls such as IP allowlisting until patches are applied.
- Close all active and persistent sessions after applying patches to prevent attackers from reusing potentially compromised session tokens.
Archived snapshot
Apr 23, 2026GovPing captured this document from the original source. If the source has since changed or been removed, this is the text as it existed at that time.
CCN-CERT AV 02/26 Vulnerabilidades críticas en Citrix NetScaler ADC y Citrix NetScaler Gateway
Fecha de publicación: 24/03/2026
Nivel de peligrosidad: CRÍTICO
- El CCN-CERT recomienda a todas las organizaciones instalar inmediatamente las versiones actualizadas y seguir los pasos de mitigación ofrecidos por el fabricante. El CCN-CERT, del Centro Criptológico Nacional, avisa de la publicación por parte de Citrix de dos vulnerabilidades críticas en sus productos NetScaler ADC y NetScaler Gateway que podrían estar siendo explotadas y que permiten la exfiltración de información confidencial de la memoria del dispositivo.
La primera de las vulnerabilidades, registrada como CVE-2026-3055, permite al atacante leer regiones reservadas de la memoria del dispositivo y potencialmente exfiltrar información confidencial almacenada en la misma. Según las indicaciones del fabricante, únicamente los dispositivos configurados como SAML IDP son vulnerables.
Por su parte, la vulnerabilidad CVE-2026-4368, es un fallo de seguridad de condición de carrera que puede provocar un intercambio de datos entre contextos de sesión. Su explotación podría permitir a un atacante obtener acceso a la sesión de un usuario objetivo. Este afecta a los sistemas configurados como puerta de enlace (VPN SSL, proxy ICA, CVPN, proxy RDP) o como servidor virtual AAA.
Recursos afectados
| CVE | Nombre del producto | Versión afectada | Actualización |
| CVE-2026-3055 | NetScaler ADC y NetScalaer Gateway | 14.1 anteriores a 14.1-66.59
13.1 anteriores a 13.1-62.23 | 14.1-66.59 y versiones posteriores
13.1-62.23 y versiones posteriores de 13.1 |
| NetScaler ADC FIPS y NDcPP | Anteriores a 13.1-37.262 | NetScaler ADC 13.1-FIPS y 13.1-NDcPP 13.1.37.262 y versiones posteriores de 13.1-FIPS y 13.1-NDcPP | |
| CVE-2026-4368 | NetScaler ADC y NetScaler Gateway | 14.1-66.54 | |
Recomendaciones
El CCN-CERT recomienda a todas las organizaciones realizar las siguientes acciones de forma inmediata:
- Instalar las versiones actualizadas correspondientes.
- Comprobar si tienen un dispositivo configurado como perfil de proveedor de identidad SAML (SAML IDP Profile) buscando en la configuración de NetScaler la cadena de texto siguiente: add authentication samlIdPProfile
- Para la vulnerabilidad CVE-2026-4368, revisar si se tiene un dispositivo configurado como uno de los siguientes tipos comprobando si en la configuración de NetScaler aparecen las cadenas especificadas:
- Un servidor de autenticación (servidor virtual AAA): add authentication vserver.
- Una puerta de enlace o Gateway (servidor virtual VPN, proxy ICA, CVPN, proxy RDP): add vpn vserver
- Restringir el acceso a NetScaler Gateway y a los servidores virtuales AAA mediante controles a nivel de red (por ejemplo, listas de direcciones IP permitidas) hasta que se implementen las actualizaciones.
- Siempre que sea posible, aplicar la medida de mitigación de la Lista Global de Rechazo (GDL), que permite la mitigación sin necesidad de reiniciar el sistema y puede ayudar a proteger los dispositivos.
- Realizar instantáneas de los dispositivos antes de aplicarles los parches, ya que pueden ser necesarias más adelante para investigar posibles intentos de explotación.
Cerrar todas las sesiones activas y persistentes tras aplicar los parches para evitar que los atacantes reutilicen tokens de sesión que puedan haber sido comprometidos.
Más información:Citrix:
Related changes
Get daily alerts for Spain CCN-CERT alt
Daily digest delivered to your inbox.
Free. Unsubscribe anytime.
Source
About this page
Every important government, regulator, and court update from around the world. One place. Real-time. Free. Our mission
Source document text, dates, docket IDs, and authority are extracted directly from CCN-CERT.
The summary, classification, recommended actions, deadlines, and penalty information are AI-generated from the original text and may contain errors. Always verify against the source document.
Classification
Who this affects
Taxonomy
Browse Categories
Get alerts for this source
We'll email you when Spain CCN-CERT alt publishes new changes.
Subscribed!
Optional. Filters your digest to exactly the updates that matter to you.