概述

Citrix 已发布安全更新以解决 NetScaler ADC 和 NetScaler Gateway 中的两个漏洞，其中一个关键漏洞可能导致敏感数据从应用程序中泄漏。Citrix 建议用户尽快应用这些补丁。

漏洞详情

• CVE-2026-3055 (CVSS 评分：9.3): 输入验证不足导致内存越界读取。此漏洞可能被未认证的远程攻击者利用，从设备内存中泄漏潜在敏感信息。
• CVE-2026-4368 (CVSS 评分：7.7): 竞态条件可能导致用户会话混淆。该漏洞需要设备配置为网关或 AAA 服务器才能被利用。

受影响的版本

这些漏洞影响以下版本：

• NetScaler ADC 和 NetScaler Gateway 版本 14.1 之前的版本（包括 14.1-66.59）和 13.1 之前的版本（包括 13.1-62.23）
• NetScaler ADC 13.1-FIPS 和 13.1-NDcPP 版本之前（包括 13.1-37.262）的版本

CVE-2026-3055 的配置检查

为了确定设备是否已配置为 SAML 身份提供者 (SAML IDP)，Citrix 建议客户在其 NetScaler 配置中查找以下字符串：

add authentication samlIdPProfile .*

CVE-2026-4368 的配置检查

为了确定设备是否已配置为网关或 AAA 服务器，客户可以在 NetScaler 配置中查找以下字符串：

• 网关配置：
• add vpn vserver .*
• AAA 虚拟服务器配置：
• add authentication vserver .*

建议措施

Citrix 建议用户尽快应用最新的更新，以确保最佳保护。尽管目前没有证据表明这些漏洞已被实际利用，但 NetScaler 设备中的安全漏洞在过去多次被威胁行为者利用（例如 CVE-2023-4966、CVE-2025-5777 和 CVE-2025-6543），因此用户必须采取措施更新其实例。

专家观点

---

元記事: https://thehackernews.com/2026/03/citrix-urges-patching-critical.html