Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Ancora NetScaler e questo non è uno di quei problemi che puoi rimandare domani.
Se usi queste soluzioni in azienda, potresti essere già dentro al perimetro di rischio senza accorgertene. E la cosa un po’ inquietante è proprio questa, il fatto che tutto sembri funzionare normalmente. Due problemi distinti, entrambi seri. Il primo, identificato come CVE-2026-3055, nasce da una validazione insufficiente degli input e può portare a una lettura di memoria fuori dai limiti. Tradotto: qualcuno potrebbe accedere a dati che non dovrebbe vedere.
Serve una condizione precisa però. Il sistema deve essere configurato come SAML IDP. Se non lo è, almeno questa falla non si attiva. Ma quanti controllano davvero questa configurazione? Il secondo problema, CVE-2026-4368, è più subdolo. Qui si parla di una race condition che può mischiare le sessioni utente. Utenti diversi che si ritrovano dati o sessioni incrociate. Non è difficile immaginare le conseguenze.
La seconda vulnerabilità entra in gioco solo in scenari specifici. Ad esempio quando il sistema è usato come Gateway, quindi SSL VPN, ICA Proxy, CVPN o RDP Proxy. Oppure quando è attivo un AAA virtual server. Un caso concreto? Un’azienda che usa NetScaler per accessi VPN. Tutto regolare, fino a quando una sessione si sovrappone a un’altra. Succede raramente, ma quando accade il danno è fatto.
| CVE-ID | Description | Pre-conditions | CWE | CVSS v4.0 |
| CVE-2026-3055 | Insufficient input validation leading to memory overread | Citrix ADC or Citrix Gateway must be configured as a SAML IDP | CWE-125: Out-of-bounds Read | CVSS v4.0 Base Score: 9.3(CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L) |
| CVE-2026-4368 | Race Condition leading to User Session Mixup | Appliance must be configured as:Gateway (SSL VPN, ICA Proxy, CVPN, RDP Proxy) OR AAA virtual server | CWE-362: Race Condition | CVSS v4.0 Base Score: 7.7(CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N) |
Per capire se si è esposti, basta guardare la configurazione. Alcune stringhe precise indicano la presenza delle impostazioni coinvolte. Non è complesso, ma bisogna sapere dove mettere le mani. Qui non c’è molto da discutere: occorre aggiornare. Subito. Le versioni corrette sono già disponibili e coprono entrambe le vulnerabilità.
Parliamo delle release 14.1-66.59 e successive, oppure 13.1-62.23 e oltre. Anche le versioni FIPS e NDcPP hanno i loro aggiornamenti dedicati. Chi resta indietro si espone. Un dettaglio interessante: la vulnerabilità più critica è stata scoperta internamente, durante attività di revisione della sicurezza. Questo fa pensare. Quante altre cose restano nascoste finché qualcuno non le trova?
La segnalazione arriva direttamente da Cloud Software Group, che ha pubblicato il bollettino ufficiale consultabile qui. L’azienda ha già avviato la comunicazione verso clienti e partner, invitando all’adozione immediata degli aggiornamenti.
