Cloud Software Group ha publicado un boletín de seguridad crítico que describe dos vulnerabilidades recientes en dispositivos NetScaler ADC y Gateway gestionados por clientes. Las fallas, identificadas como CVE-2026-3055 y CVE-2026-4368, permiten a atacantes remotos filtrar información sensible o provocar mezclas de sesiones de usuario. Se recomienda encarecidamente aplicar las actualizaciones de seguridad disponibles para evitar compromisos en la red.
CVE y severidad
| CVE | Descripción | Severidad | Impacto | Componentes afectados |
|---|---|---|---|---|
| CVE-2026-3055 | Lectura fuera de límites por validación insuficiente, explotable remotamente solo en configuraciones SAML IdP. | Crítica (CVSS 9.3) | Filtración de información sensible (memoria) | NetScaler ADC configurado como SAML Identity Provider |
| CVE-2026-4368 | Condición de carrera que produce mezcla de sesiones entre usuarios en Gateway o servidor virtual AAA. | Alta (CVSS 7.7) |
Exposición y acceso no autorizado a sesiones activas | NetScaler Gateway y servidores virtuales AAA gestionados por clientes |
Productos afectados
| CVE | Producto | Versiones afectadas | Versiones corregidas |
| CVE-2026-3055 | NetScaler ADC / Gateway | 14.1 antes de 14.1-66.59 | 14.1-66.59 o superior |
| 13.1 antes de 13.1-62.23 | 13.1-62.23 o superior | ||
| NetScaler ADC FIPS / NDcPP | Antes de 13.1-37.262 | 13.1-37.262 o superior | |
| CVE-2026-4368 | NetScaler ADC / Gateway | 14.1-66.54 (y builds vulnerables en esa rama) | 14.1-66.59 o superior |
Solución
Actualizar inmediatamente los dispositivos afectados a las últimas versiones de firmware soportadas disponibles.
Recomendaciones
Priorizar la aplicación de parches críticos para prevenir la explotación remota; verificar la configuración específica para identificar exposición; realizar reinicios y validaciones post-actualización para asegurar la integridad de las sesiones.