Une nouvelle alerte de sécurité pour les solutions Citrix NetScaler après la découverte de deux failles de sécurité, dont l’une rappelle les vulnérabilités CitrixBleed et CitrixBleed2 qui ont fait beaucoup de dégâts depuis 2023. Voici ce qu’il faut savoir.

Ces dernières années, les solutions Citrix NetScaler ADC et Citrix NetScaler Gateway ont été plusieurs fois impactées par des failles de sécurité critiques. On se souvient en 2023 de la vulnérabilité CitrixBleed, et en juin 2025, de la vulnérabilité CitrixBleed 2. Ces deux failles de sécurité zero-day ont permis aux pirates de compromettre de nombreuses instances, notamment le groupe de ransomware LockBit qui a exploité la faille CitrixBleed.

Le 23 mars 2026, Citrix a mis en ligne un nouveau bulletin de sécurité pour divulguer deux failles de sécurité : CVE-2026-3055 et CVE-2026-4368.

La CVE-2026-4368 est la moins grave de ces deux faiblesses. Elle affecte les appliances configurées en tant que passerelles (SSL VPN, CVPN, RDP) ou serveurs virtuels AAA. Cette faille de type race condition permet à un attaquant disposant de privilèges restreints de provoquer un “mixage” de sessions utilisateurs. Cela pourrait donc lui permettre d’usurper la session active d’un autre utilisateur.

La CVE-2026-3055 affecte Citrix NetScaler

Derrière la référence CVE-2026-3055 se cache une faille de sécurité critique avec un score CVSS v4.0 de 9.3 sur 10. En cause : une validation insuffisante des données en entrée, ce qui peut entraîner un dépassement de capacité de la mémoire sur les appliances Citrix ADC ou Citrix Gateway.

En exploitant cette vulnérabilité, un attaquant distant et sans privilèges spécifiques pourrait voler des jetons de session, et ainsi usurper l’identité d’utilisateurs. Mais attention, il y a une condition préalable à l’exploitation de cette faille : l’instance Citrix doit être configurée en tant que fournisseur d’identité SAML (IdP).

La bonne nouvelle, c’est que ce n’est pas une faille zero-day : elle a été divulguée à l’occasion de la publication de ce nouveau patch de sécurité. En effet, elle a été découverte par un audit interne effectué par les équipes de Citrix. Malgré tout, l’installation de la mise à jour est recommandée, car la situation peut rapidement évoluer.

“La vulnérabilité CVE-2026-3055 risque d’être exploitée dès que le code d’exploitation sera rendu public. Il est donc essentiel que les clients utilisant des systèmes Citrix concernés corrigent cette vulnérabilité dès que possible ; les logiciels Citrix ont déjà fait l’objet d’exploits à grande échelle liés à des fuites de mémoire, notamment la célèbre vulnérabilité « CitrixBleed » (CVE-2023-4966) en 2023.”, précise Rapid7 dans un rapport.

Comment se protéger ?

Ces deux failles de sécurité affectent les versions 13.1 et 14.1 de Citrix NetScaler ADC et NetScaler Gateway, ainsi que les versions 13.1-FIPS et 13.1-NDcPP de NetScaler ADC. Voici la liste des versions avec le patch de sécurité :

• Version 13.1-62.23
• Version 14.1-60.58
• Version 14.1-66.59
• Version 13.1-37.262

Ces informations sont précisées pour chaque produit sur le site de support de Citrix. Il y a des chances pour que les pirates s’intéressent de près à ces vulnérabilités : ce sont des cibles attractives. Il suffit de prendre en considération le nombre d’instances exposées sur Internet pour le comprendre. En effet, d’après TheShadowServer, il y aurait actuellement plus de 30 000 instances Citrix NetScaler ADC et plus de 2 300 instances Citrix NetScaler Gateway.

À vos patchs !