Vulnerabilidad crítica CVSS 9.3 en Citrix NetScaler permite lectura de memoria (CVE-2026-3055)

Una falla de seguridad crítica en Citrix NetScaler ADC y NetScaler Gateway está siendo objeto de reconocimiento activo por parte de actores de amenazas, según reportan las firmas de seguridad Defused Cyber y watchTowr. La vulnerabilidad, identificada como CVE-2026-3055 con un puntaje CVSS de 9.3, permite a atacantes no autenticados realizar lecturas fuera de límites de memoria (out-of-bounds memory read), con potencial de filtrar información sensible residente en el dispositivo.

El contexto histórico agrava la urgencia, ya que se han descubierto vulnerabilidades similares en NetScaler, como las CVE-2023-4966 (denominada Citrix Bleed) y CVE-2025-5777 (denominada Citrix Bleed 2), las cuales fueron ampliamente aprovechadas en su momento.

¿En qué consiste la vulnerabilidad CVE-2026-3055?

La vulnerabilidad radica en una validación insuficiente de input (insufficient input validation) que desencadena una lectura de memoria fuera de los límites asignados, técnicamente clasificada como CWE-125 (Out-of-bounds Read). En términos prácticos, esto significa que un atacante remoto no autenticado podría leer fragmentos de la memoria del dispositivo que contienen datos que nunca deberían ser accesibles externamente.

Según Rapid7, la configuración de SAML IDP —requerida para que la vulnerabilidad sea explotable— es probablemente muy común en organizaciones que utilizan single sign-on (inicio de sesión único). Investigadores de PurpleOps señalan que una explotación exitosa podría exponer cookies de sesión (lo que permitiría evadir la autenticación multifactor), claves criptográficas privadas y credenciales de usuario en texto claro.

Un punto importante es que la vulnerabilidad no afecta configuraciones predeterminadas. Solo los dispositivos configurados explícitamente como SAML Identity Provider son vulnerables.

Reconocimiento activo en curso

Citrix publicó el parche el 23 de marzo de 2026. En los días posteriores, ambas firmas de seguridad comenzaron a detectar actividad de reconocimiento dirigida a identificar dispositivos vulnerables.

Defused Cyber reportó en X que los actores de amenazas están sondeando el endpoint /cgi/GetAuthMethods para enumerar los métodos de autenticación habilitados en los honeypots de Citrix. Este comportamiento de fingerprinting de métodos de autenticación apunta directamente a identificar si un dispositivo está configurado como SAML IDP, es decir, si es vulnerable.

Por su parte, watchTowr advirtió que ha detectado reconocimiento activo contra instancias de NetScaler en su red de honeypots, y fue categórica al respecto: «cuando el reconocimiento de los atacantes se convierta en explotación activa, la ventana para responder desaparecerá».

Al momento de redacción de este artículo, Cloud Software Group (empresa matriz de Citrix) declaró no tener conocimiento de explotación activa confirmada ni de un proof-of-concept (PoC) público disponible. Sin embargo, la fase de reconocimiento activo es históricamente el preludio directo a la explotación masiva.

Versiones afectadas

La vulnerabilidad impacta las siguientes versiones de NetScaler ADC y NetScaler Gateway:

• NetScaler ADC and NetScaler Gateway versiones 14.1 anteriores a 14.1-60.58
• NetScaler ADC and NetScaler Gateway versiones 13.1 anteriores a 13.1-62.23
• NetScaler ADC FIPS and NDcPP anteriores a 13.1-37.262

Los servicios en la nube gestionados por Citrix y Adaptive Authentication ya fueron actualizados automáticamente por Cloud Software Group.

Antecedentes relacionados

El historial de vulnerabilidades críticas en NetScaler explotadas activamente refuerza por qué este caso no debe subestimarse. Entre los precedentes más relevantes:

• CVE-2023-4966 (Citrix Bleed): fuga de tokens de sesión, explotada masivamente en 2023.
• CVE-2025-5777 (Citrix Bleed 2): variante similar, explotada en 2025.
• CVE-2025-6543 y CVE-2025-7775: también explotadas en el último año.

Como apunta Arctic Wolf, la trayectoria de estas vulnerabilidades sugiere que los actores de amenazas intentarán realizar ingeniería inversa de los parches para desarrollar exploits.

Indicadores de compromiso (IoC)

Tipo	Valor
Endpoint sondeado	/cgi/GetAuthMethods
Patrón de configuración vulnerable	add authentication samlIdPProfile .*

La presencia de solicitudes inusuales al endpoint /cgi/GetAuthMethods desde IPs externas, especialmente en volúmenes elevados o fuera del horario habitual, puede indicar actividad de reconocimiento activo.

Medidas de prevención

1. Actualizar a versiones parcheadas (solución permanente):

• NetScaler ADC y NetScaler Gateway 14.1-66.59 o versiones posteriores
• NetScaler ADC y NetScaler Gateway 13.1-62.23 o versiones posteriores
• NetScaler ADC 13.1-FIPS y 13.1-NDcPP 13.1-37.262 o versiones posteriores

2. Verificar la configuración SAML IDP para determinar si el dispositivo es vulnerable:

• Inspeccionar la configuración de NetScaler en busca del siguiente patrón:

     add authentication samlIdPProfile .*

• Si el patrón está presente, el dispositivo es vulnerable y debe parchearse con carácter de urgencia.

3. Invalidar sesiones activas tras aplicar el parche:

• Dado el potencial de fuga de cookies de sesión, se recomienda terminar todas las sesiones activas inmediatamente después de la actualización.

4. Monitoreo activo del endpoint /cgi/GetAuthMethods:

• Revisar los registros (logs) del dispositivo en busca de solicitudes anómalas a este endpoint, especialmente desde IPs externas no conocidas.

5. Restringir exposición de red:

• Si es operativamente viable, limitar el acceso al dispositivo NetScaler únicamente a rangos de IP confiables mientras se coordina el proceso de parcheado.

¿Te pareció útil este artículo?

Si te pareció útil este artículo, ¡te invitamos a compartirlo con personas que podrían verse beneficiadas al leerlo!