Компанія Citrix опублікувала екстрений патч для двох вразливостей у продуктах NetScaler ADC та NetScaler Gateway. Перша й найнебезпечніша — CVE-2026-3055 з оцінкою CVSS 9.3 із 10 — класифікується як некоректна перевірка вхідних даних, що призводить до зчитування пам’яті за межами дозволеної ділянки. Іншими словами, зловмисник без будь-яких облікових даних може надіслати спеціально сформований запит до вразливого пристрою і отримати у відповідь фрагменти його оперативної пам’яті — в яких можуть міститися адміністративні паролі, сесійні токени або SSL-сертифікати. Атака можлива лише за умови, що пристрій налаштовано як SAML Identity Provider — тобто є центральним вузлом корпоративної системи єдиного входу. Дефолтні конфігурації вразливості не мають. Другий баг — CVE-2026-4368 — є умовою гонки: при специфічному збігу часу система може переплутати сесії двох різних користувачів.

Експерти галузі відразу назвали CVE-2026-3055 третьою частиною так званої «трилогії CitrixBleed». Перша версія — CVE-2023-4966 — спровокувала масову хвилю атак на такі організації, як Comcast Xfinity та Boeing, і стала відправною точкою для атак програми-вимагача LockBit 3.0. Друга версія — CVE-2025-5777 — після публікації патчу зазнала понад 11,5 мільйона спроб експлуатації, а пов’язане з КНР угруповання Salt Typhoon використало її для злому неназваного європейського телекомунікаційного оператора. Зараз сервіс Shadowserver відстежує понад 30 000 екземплярів NetScaler ADC та більш ніж 2 300 NetScaler Gateway, що напряму доступні з інтернету. Компанія Rapid7 заявила про очікування публічного PoC-експлойта у найближчі дні та підвищений сканувальний трафік у напрямку Citrix-пристроїв. Виправлені версії: NetScaler ADC/Gateway 14.1-66.59 та 13.1-62.23. Версії 12.1 та 13.0 вже знято з підтримки і залишаються вразливими назавжди.