Citrix ha lanzado actualizaciones de seguridad para abordar dos vulnerabilidades en NetScaler ADC y NetScaler Gateway, incluida una falla crítica que podría explotarse para filtrar datos confidenciales de la aplicación.

Las vulnerabilidades se enumeran a continuación:

• CVE-2026-3055 (Puntuación CVSS: 9,3) – Validación de entrada insuficiente que provoca una lectura excesiva de la memoria
• CVE-2026-4368 (Puntuación CVSS: 7,7) – Condición de carrera que provoca una confusión en la sesión del usuario

Empresa de ciberseguridad Rapid7 dicho que CVE-2026-3055 se refiere a una lectura fuera de límites que podría ser explotada por atacantes remotos no autenticados para filtrar información potencialmente confidencial de la memoria del dispositivo.

Sin embargo, para que la explotación sea exitosa, el dispositivo Citrix ADC o Citrix Gateway debe estar configurado como proveedor de identidad SAML (SAML IDP), lo que significa que las configuraciones predeterminadas no se ven afectadas. Para determinar si el dispositivo se ha configurado como perfil IDP SAML, Citrix insta a los clientes a inspeccionar su configuración de NetScaler para ver la cadena especificada: «agregar autenticación samlIdPProfile .*».

CVE-2026-4368, por otro lado, requiere que el dispositivo esté configurado como una puerta de enlace (es decir, SSL VPN, ICA Proxy, CVPN y RDP Proxy) o una autenticación, autorización y contabilidad (aaa) servidor. Los clientes pueden verificar la configuración de NetScaler para determinar si sus dispositivos se han configurado como cualquiera de los nodos:

• Servidor virtual AAA: agregue autenticación vserver.*
• Puerta de enlace: agregue vpn vserver.*

Las vulnerabilidades afectan a NetScaler ADC y NetScaler Gateway versiones 14.1 anteriores a 14.1-66.59 y 13.1 anteriores a 13.1-62.23, así como a NetScaler ADC 13.1-FIPS y 13.1-NDcPP anteriores a 13.1-37.262. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antes posible para una protección óptima.

Si bien no hay evidencia de que las deficiencias hayan sido explotadas en la naturaleza, las fallas de seguridad en los dispositivos NetScaler han sido explotadas repetidamente por actores de amenazas (CVE-2023-4966, también conocido como Citrix Bleed, CVE-2025-5777, también conocido como Citrix Bleed 2, CVE-2025-6543 y CVE-2025-7775), lo que hace imperativo que los usuarios tomen medidas para actualizar sus instancias.

«CVE-2026-3055 permite a atacantes no autenticados filtrar y leer memoria sensible de implementaciones de NetScaler ADC. Si suena familiar, es porque lo es: esta vulnerabilidad suena sospechosamente similar a Citrix Bleed y Citrix Bleed 2, que continúan representando un evento traumático para muchos», dijo el CEO y fundador de watchTowr, Benjamin Harris, a The Hacker News.

«Los NetScalers son soluciones críticas que han sido objeto continuamente de acceso inicial a entornos empresariales. Si bien el aviso acaba de publicarse, los defensores deben actuar rápidamente. Cualquiera que ejecute versiones afectadas debe aplicar parches urgentemente. Es muy probable que se produzca una explotación inminente».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes agregado una falla de seguridad de gravedad media que afecta a Wing FTP a sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa.

La vulnerabilidad, CVE-2025-47813 (Puntuación CVSS: 4,3), es una vulnerabilidad de divulgación de información que filtra la ruta de instalación de la aplicación bajo ciertas condiciones.

«Wing FTP Server contiene una generación de mensajes de error que contienen vulnerabilidades de información confidencial cuando se utiliza un valor largo en la cookie UID», dijo CISA.

La deficiencia afecta a todas las versiones del software anteriores a la versión 7.4.3 incluida. El problema se solucionó en la versión 7.4.4, enviada en mayo luego de una divulgación responsable por parte del investigador de seguridad de RCE, Julien Ahrens.

Vale la pena señalar que la versión 7.4.4 también parchea CVE-2025-47812 (puntaje CVSS: 10.0), otro error crítico en el mismo producto que permite la ejecución remota de código. En julio de 2025, la vulnerabilidad se encuentra bajo explotación activa en la naturaleza.

Según los detalles compartidos por Huntress en ese momento, los atacantes lo aprovecharon para descargar y ejecutar archivos Lua maliciosos, realizar reconocimientos e instalar software de administración y monitoreo remoto.

Ahrens, en un exploit de prueba de concepto (PoC), compartido en GitHub, señaló que el punto final en «/loginok.html» no valida adecuadamente el valor de la cookie de sesión «UID». Como resultado, si el valor proporcionado es más largo que el tamaño de ruta máximo del sistema operativo subyacente, genera un mensaje de error que revela la ruta completa del servidor local.

«Los exploits exitosos pueden permitir que un atacante autenticado obtenga la ruta del servidor local de la aplicación, lo que puede ayudar a explotar vulnerabilidades como CVE-2025-47812», el investigador agregado.

Actualmente no hay detalles sobre cómo se explota la vulnerabilidad en la naturaleza y si se abusa de ella junto con CVE-2025-47812. A la luz de los últimos acontecimientos, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones necesarias antes del 30 de marzo de 2026.