Citrix ha lanzado actualizaciones de seguridad para abordar dos vulnerabilidades en NetScaler ADC y NetScaler Gateway, incluida una falla crítica que podría explotarse para filtrar datos confidenciales de la aplicación.

Las vulnerabilidades se enumeran a continuación:

• CVE-2026-3055 (Puntuación CVSS: 9,3) – Validación de entrada insuficiente que provoca una lectura excesiva de la memoria
• CVE-2026-4368 (Puntuación CVSS: 7,7) – Condición de carrera que provoca una confusión en la sesión del usuario

Empresa de ciberseguridad Rapid7 dicho que CVE-2026-3055 se refiere a una lectura fuera de límites que podría ser explotada por atacantes remotos no autenticados para filtrar información potencialmente confidencial de la memoria del dispositivo.

Sin embargo, para que la explotación sea exitosa, el dispositivo Citrix ADC o Citrix Gateway debe estar configurado como proveedor de identidad SAML (SAML IDP), lo que significa que las configuraciones predeterminadas no se ven afectadas. Para determinar si el dispositivo se ha configurado como perfil IDP SAML, Citrix insta a los clientes a inspeccionar su configuración de NetScaler para ver la cadena especificada: «agregar autenticación samlIdPProfile .*».

CVE-2026-4368, por otro lado, requiere que el dispositivo esté configurado como una puerta de enlace (es decir, SSL VPN, ICA Proxy, CVPN y RDP Proxy) o una autenticación, autorización y contabilidad (aaa) servidor. Los clientes pueden verificar la configuración de NetScaler para determinar si sus dispositivos se han configurado como cualquiera de los nodos:

• Servidor virtual AAA: agregue autenticación vserver.*
• Puerta de enlace: agregue vpn vserver.*

Las vulnerabilidades afectan a NetScaler ADC y NetScaler Gateway versiones 14.1 anteriores a 14.1-66.59 y 13.1 anteriores a 13.1-62.23, así como a NetScaler ADC 13.1-FIPS y 13.1-NDcPP anteriores a 13.1-37.262. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antes posible para una protección óptima.

Si bien no hay evidencia de que las deficiencias hayan sido explotadas en la naturaleza, las fallas de seguridad en los dispositivos NetScaler han sido explotadas repetidamente por actores de amenazas (CVE-2023-4966, también conocido como Citrix Bleed, CVE-2025-5777, también conocido como Citrix Bleed 2, CVE-2025-6543 y CVE-2025-7775), lo que hace imperativo que los usuarios tomen medidas para actualizar sus instancias.

«CVE-2026-3055 permite a atacantes no autenticados filtrar y leer memoria sensible de implementaciones de NetScaler ADC. Si suena familiar, es porque lo es: esta vulnerabilidad suena sospechosamente similar a Citrix Bleed y Citrix Bleed 2, que continúan representando un evento traumático para muchos», dijo el CEO y fundador de watchTowr, Benjamin Harris, a The Hacker News.

«Los NetScalers son soluciones críticas que han sido objeto continuamente de acceso inicial a entornos empresariales. Si bien el aviso acaba de publicarse, los defensores deben actuar rápidamente. Cualquiera que ejecute versiones afectadas debe aplicar parches urgentemente. Es muy probable que se produzca una explotación inminente».

oráculo tiene liberado actualizaciones de seguridad para abordar una falla de seguridad crítica que afecta a Identity Manager y Web Services Manager y que podría explotarse para lograr la ejecución remota de código.

La vulnerabilidad, rastreada como CVE-2026-21992tiene una puntuación CVSS de 9,8 sobre un máximo de 10,0.

«Esta vulnerabilidad se puede explotar de forma remota sin autenticación», Oracle dicho en un aviso. «Si se explota con éxito, esta vulnerabilidad puede provocar la ejecución remota de código».

CVE-2026-21992 afecta a las siguientes versiones:

• Oracle Identity Manager versiones 12.2.1.4.0 y 14.1.2.1.0
• Oracle Web Services Manager versiones 12.2.1.4.0 y 14.1.2.1.0

Según un descripción de la falla en la Base de Datos Nacional de Vulnerabilidad (NVD) del NIST, es «fácilmente explotable» y podría permitir que un atacante no autenticado con acceso a la red a través de HTTP comprometa Oracle Identity Manager y Oracle Web Services Manager. Esto, a su vez, puede dar como resultado la adquisición exitosa de instancias susceptibles.

Oracle no menciona la vulnerabilidad que se está explotando en la naturaleza. Sin embargo, el gigante tecnológico ha instado a los clientes a aplicar la actualización sin demora para una protección óptima.

En noviembre de 2025, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2025-61757 (puntuación CVSS: 9,8), una falla de ejecución remota de código previamente autenticada que afecta a Oracle Identity Manager, al catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.

Investigadores de ciberseguridad han revelado una falla de seguridad crítica que afecta al demonio telnet GNU InetUtils (telnetd) y que podría ser explotada por un atacante remoto no autenticado para ejecutar código arbitrario con privilegios elevados.

La vulnerabilidad, rastreada como CVE-2026-32746tiene una puntuación CVSS de 9,8 sobre 10,0. Se ha descrito como un caso de escritura fuera de límites en el controlador de subopción Establecer caracteres locales (SLC) de LINEMODE que resulta en un desbordamiento del búfer, lo que en última instancia allana el camino para la ejecución del código.

La empresa israelí de ciberseguridad Dream, que descubrió e informó la falla el 11 de marzo de 2026, dijo que afecta a todas las versiones de la implementación del servicio Telnet hasta la 2.7. Se espera que una solución para la vulnerabilidad esté disponible a más tardar el 1 de abril de 2026.

«Un atacante remoto no autenticado puede aprovechar esto enviando un mensaje especialmente diseñado durante el protocolo de enlace de conexión inicial, antes de que aparezca cualquier mensaje de inicio de sesión», Dream dicho en una alerta. «Una explotación exitosa puede resultar en la ejecución remota de código como root».

«Una única conexión de red al puerto 23 es suficiente para desencadenar la vulnerabilidad. No se requieren credenciales, ninguna interacción del usuario ni una posición especial en la red».

El controlador SLC, según Dream, procesa la negociación de opciones durante el protocolo de enlace Telnet. Pero dado que la falla puede activarse antes de la autenticación, un atacante puede convertirla en un arma inmediatamente después de establecer una conexión enviando mensajes de protocolo especialmente diseñados.

Una explotación exitosa podría comprometer completamente el sistema si telnetd se ejecuta con privilegios de root. Esto, a su vez, podría abrir la puerta a diversas acciones posteriores a la explotación, incluido el despliegue de puertas traseras persistentes, exfiltración de datos y movimiento lateral mediante el uso de hosts comprometidos como puntos de pivote.

«Un atacante no autenticado puede activarlo conectándose al puerto 23 y enviando una subopción SLC diseñada con muchos tripletes». de acuerdo a al investigador de seguridad de Dream, Adiel Sol.

«No es necesario iniciar sesión; el error se detecta durante la negociación de opciones, antes del mensaje de inicio de sesión. El desbordamiento corrompe la memoria y puede convertirse en escrituras arbitrarias. En la práctica, esto puede conducir a la ejecución remota de código. Debido a que telnetd generalmente se ejecuta como root (por ejemplo, bajo inetd o xinetd), un exploit exitoso le daría al atacante control total del sistema».

A falta de una solución, se recomienda desactivar el servicio si no es necesario, ejecutar telnetd sin privilegios de root cuando sea necesario, bloquear el puerto 23 en el perímetro de la red y el nivel del firewall basado en host para restringir el acceso y aislar el acceso a Telnet.

La divulgación se produce casi dos meses después de que se revelara otra falla de seguridad crítica en GNU InetUtils telnetd (CVE-2026-24061, puntuación CVSS: 9,8) que podría aprovecharse para obtener acceso raíz a un sistema de destino. Desde entonces, la vulnerabilidad ha sido objeto de explotación activa en la naturaleza, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.

Una vulnerabilidad de máxima gravedad en pac4j, una biblioteca de código abierto integrada en cientos de paquetes y repositorios de software, representa una importante amenaza a la seguridad, pero hasta ahora ha recibido escasa atención.

El defecto en el motor de seguridad de Java, que maneja la autenticación a través de múltiples marcos, no ha sido explotado desde que la firma de revisión de código CodeAnt AI publicó un exploit de prueba de concepto la semana pasada. La empresa descubrió la vulnerabilidad y la informó de forma privada al responsable de pac4j, que reveló el defecto y lanzó parches para las versiones afectadas de la biblioteca en dos días.

Algunos investigadores le dijeron a CyberScoop que están preocupados por la vulnerabilidad. CVE-2026-29000 – porque afecta a un motor de seguridad Java ampliamente implementado que los atacantes pueden explotar con relativa facilidad.

«Un actor de amenazas sólo necesita acceder a la clave RSA pública de un servidor para intentar la explotación», dijeron investigadores de Arctic Wolf Labs en un correo electrónico.

Estas claves públicas, que se comparten abiertamente, se utilizan para cifrar datos y permitir la autenticación de identidad. Los atacantes pueden desencadenar el defecto y eludir la autenticación falsificando un JSON Web Token (JWT) o implementando reclamos JSON sin procesar a través de JSON Web Encryption (JWE) en pac4j-jwt para ingresar a un sistema con los privilegios más altos.

«Actualmente es demasiado temprano en el ciclo de vida de esta vulnerabilidad para saber si se materializará en una amenaza importante, pero el hecho de que sea una vulnerabilidad en una biblioteca hace que sea más difícil evaluar el riesgo potencial», dijeron investigadores de Arctic Wolf Labs. «Los consumidores intermedios de la biblioteca pueden terminar necesitando emitir sus propios avisos, como hemos visto con otras vulnerabilidades similares en el pasado».

Amartya Jha, cofundador y director ejecutivo de CodeAnt AI, advirtió que cualquiera con conocimientos básicos de JWT puede lograr la explotación. La vulnerabilidad es una «falla lógica que ningún escáner de coincidencia de patrones o herramienta de prueba de seguridad de aplicaciones estáticas basada en reglas podría detectar, porque no hay una sola línea de código incorrecta».

El riesgo de seguridad posterior, como suele ocurrir con el software de código abierto, está muy extendido. El módulo de autenticación para pac4j está integrado en múltiples marcos, incluidos Spring Security, Play Framework, Vert.x, Javalin y otros, dijo Jha.

Es posible que muchas organizaciones no se den cuenta de que dependen de pac4j-jwt porque no siempre se declara en los archivos de compilación, añadió. CodeAnt dijo que se comunicó con cientos de mantenedores la semana pasada para advertirles que sus paquetes y repositorios se ven afectados por la vulnerabilidad, que tiene una calificación CVSS de 10.

Los investigadores no han observado ningún código de exploit PoC adicional, pero observaron que la ruta del exploit es fácil de reproducir.

«Las condiciones para la explotación son favorables», afirmó Jha. «Es una autenticación previa, no requiere secretos, la PoC es pública y la superficie de ataque incluye cualquier aplicación orientada a Internet o puerta de enlace API que utilice la configuración afectada. La ventana entre la PoC pública y la adopción de parches es donde el riesgo es mayor».

El comité de Energía y Comercio de la Cámara de Representantes aprobó por unanimidad el jueves un paquete de proyectos de ley bipartidistas de ciberseguridad dirigidos al sector energético, incluida una legislación que reautorizaría y financiaría un programa federal crítico de asistencia en ciberseguridad para empresas de servicios eléctricos rurales en todo el país.

El Ley de ciberseguridad de servicios públicos rurales y municipalespresentado por las representantes Mariannette Miller-Meeks, republicana por Iowa, y Jennifer McClellan, demócrata por Virginia, reautoriza el programa de ciberseguridad avanzada de servicios públicos rurales y municipales del Departamento de Energía, que canaliza cientos de millones de dólares en subvenciones federales y asistencia técnica cada año para ayudar a los servicios públicos y cooperativas rurales a defenderse contra ataques cibernéticos y otras amenazas.

El programa se creó a través de la Ley de Empleo e Inversión en Infraestructura de 2022 y es ampliamente visto en el sector energético como un salvavidas de ciberseguridad para servicios eléctricos con fondos insuficientes de lo contrario, sería un eslabón débil en la ciberseguridad o confiabilidad energética del país.

Las empresas de servicios públicos más pequeñas desempeñan un papel crucial en el apoyo a las redes energéticas del país, pero muchas carecen de operaciones sofisticadas de TI o de ciberseguridad. Los funcionarios de la industria dicen que no es raro que algunas entidades tengan uno o dos funcionarios de TI o ciberseguridad, en todo caso. El proyecto de ley aprueba 250 millones de dólares en subvenciones adicionales para el programa durante los próximos cinco años, parte de los cuales se destinaría a implementar tecnologías de ciberseguridad más modernas y mejorar el intercambio de información.

Hablando antes de la votación, Miller-Meeks dijo que la cooperativa eléctrica de su distrito de Iowa debe atender a los contribuyentes en 20 condados diferentes y enfrenta «las mismas amenazas que los sistemas metropolitanos pero con menos recursos».

“En un momento en que los ataques de ciberseguridad a nuestra infraestructura crítica están aumentando y aún no hemos autorizado un proyecto de ley de asignaciones para el DHS, las empresas de servicios públicos pequeñas y rurales necesitan recursos para defenderse de los actores estatales y las amenazas sofisticadas”, dijo.

El miembro de mayor rango Frank Pallone, DN.J., expresó su propia crítica, afirmando que la reautorización fue “retrasada durante incontables meses debido a demoras sin sentido” por parte de funcionarios de Energía.

Otro proyecto de ley, el Ley de liderazgo en emergencias energéticastrasladaría la responsabilidad de las funciones de ciberseguridad de la Oficina de Ciberseguridad, Seguridad Energética y Respuesta a Emergencias a un único subsecretario confirmado por el Senado.

La principal patrocinadora del proyecto de ley, la representante Laurel Lee, republicana por Florida, citó directamente informes de amenazas continuas al sector energético del país por parte de piratas informáticos patrocinados por el estado chino como impulsor de la legislación.

“Al mismo tiempo que nuestra red eléctrica enfrenta un panorama de amenazas cada vez más complejo, amenazas patrocinadas por estados como Volt Typhoon han apuntado activamente a infraestructura crítica de EE. UU., incluida nuestra red eléctrica”, dijo Lee. «Éstas son amenazas reales y continuas de adversarios extranjeros que buscan socavar nuestra seguridad nacional y estabilidad económica».

El comité también aprobó proyectos de ley que requieren estados incluir la ciberseguridad en sus planes energéticos, aclarar el papel del Secretario de Energía en la promoción y coordinación de la ciberseguridad de los oleoductos y gasoductos del país, y codificar un Centro piloto de Análisis de Amenazas Energéticas.