Duas vulnerabilidades no NetScaler ADC e no NetScaler Gateway elevaram o alerta para ambientes corporativos que dependem de VPNs e serviços de autenticação remota.
As falhas foram identificadas como CVE-2026-3055 e CVE-2026-4368 e afetam appliances amplamente usados na borda da rede para acesso seguro a aplicações e recursos internos.
A mais grave é a CVE-2026-3055, descrita como uma falha de out-of-bounds read com CVSS v4 de 9,3.
Segundo o alerta, o problema atinge appliances configurados como SAML IdP e pode levar à leitura indevida de memória, criando risco para ambientes que usam autenticação federada.
Já a CVE-2026-4368 foi classificada como uma race condition, com CVSS v4 de 7,7.
Nesse caso, o impacto está ligado a cenários de mistura de sessões de usuários, o que pode comprometer o isolamento entre conexões em serviços expostos pelo appliance.
A exposição é especialmente relevante em equipamentos configurados como Gateway, incluindo SSL VPN, ICA Proxy, CVPN e RDP Proxy, além de ambientes em que o NetScaler atua como AAA virtual server.
Em estruturas desse tipo, qualquer falha envolvendo sessão ou autenticação pode afetar diretamente o controle de acesso.
A Citrix orienta a aplicação rápida das correções e recomenda a revisão do boletim técnico publicado para o caso.
A gravidade prática depende da forma como o appliance está configurado, o que torna essencial verificar se o ambiente usa funções como SAML IdP, VPN corporativa ou autenticação centralizada.
