Citrix 發布了安全性更新，以解決NetScaler ADC 和 NetScaler Gateway 中的兩個漏洞，其中包括一個可能被利用來洩露應用程式中敏感資料的嚴重漏洞。漏洞列表如下：

✔  CVE-2026-3055（CVSS評分：9.3）- 輸入驗證不足導致記憶體過度讀取

✔  CVE-2026-4368（CVSS評分：7.7）- 競態條件導致使用者會話混淆

網路安全公司 Rapid7表示，CVE-2026-3055 指的是越界讀取漏洞，未經身份驗證的遠端攻擊者可以利用該漏洞從裝置的記憶體中洩露潛在的敏感資訊。然而，要成功利用此漏洞，Citrix ADC 或 Citrix Gateway 設備必須配置為 SAML 身分提供者 (SAML IDP)，這表示預設配置不受影響。為了確定設備是否已配置為 SAML IDP 設定文件，Citrix 強烈建議客戶檢查其 NetScaler 配置中是否存在以下字串：「add authentication samlIdPProfile .*」。

另一方面，CVE-2026-4368 要求設備配置為網關（例如 SSL VPN、ICA 代理、CVPN 和 RDP 代理）或驗證、授權和計費 ( AAA ) 伺服器。客戶可以檢查 NetScaler 配置，以確定其設備是否已配置為上述任一節點。這些漏洞影響 NetScaler ADC 和 NetScaler Gateway 的 14.1 版本（14.1-66.59 之前的版本）以及 13.1 版本（13.1-62.23 之前的版本），還有 NetScaler ADC 的 13.1-FIPS 和 13.1-1396320PP 的版本。建議用戶盡快套用最新更新以獲得最佳保護。

資料來源：https://thehackernews.com/2026/03/citrix-urges-patching-critical.html