Citrix è da sempre molto attenta alla sicurezza e ha appena rilasciato un nuovo bollettino di per NetScaler che segnala due CVE. Come sempre, le problematiche non stanno nella componente di bilanciamento, ma nella parte che espone servizi locali sull’apparato, nello specifico SAML IdP, Gateway e AAA.
Il nuovo bollettino di sicurezza evidenzia due CVE:
- CVE-2026-3055, “Insufficient input validation leading to memory overread” che colpisce configurazioni con ADC o Gateway configurati come SAML IDP, con un CVSS v4.0 Base Score di 9.3
- CVE-2026-4368, “Race Condition leading to User Session Mixup” che colpisce Gateway e/o virtual server AAA, con un CVSS v4.0 Base Score: 7.7
In questo Security Bulletin, Citrix spiega anche quali linee cercare nel file ns.conf per confermare se abbiamo configurato un SAML idP Profile, un Gateway o un vserver AAA….. Spero bene che ognuno sappia cosa fa il proprio NetScaler!
La buona notizia è che se avete appena aggiornato tutti i firmware per garantirvi la compatibilità con la transiazione al LAS, avete buone probabilità di essere già a posto. Le versioni che risolvono queste vulnerabilità sono:
- NetScaler ADC e NetScaler Gateway 14.1-66.59 e successive
- NetScaler ADC e NetScaler Gateway 13.1-62.23 e successive 13.1
- NetScaler ADC 13.1-FIPS e 13.1-NDcPP 13.1.37.262 e successive versioni 13.1-FIPS e 13.1-NDcPP
AGGIORNAMENTO: Attenzione, perché il 23 marzo Citrix ha rilasciato delle build nuove, cambia solo un numerino (confesso che mi ha ingannato).
Per ulteriori informazioni: