Güvenlik
0

NetScaler ADC ve NetScaler Gateway Güvenlik Açığı – CVE-2026-3055 ve CVE-2026-4368

NetScaler ADC ve NetScaler Gateway Güvenlik Açığı – CVE-2026-3055 ve CVE-2026-4368

Citrix 23 Mart 2026’da NetScaler ADC ve NetScaler Gateway için iki güvenlik açığı bildiren bülteni yayınladı. Aşağıda bültendeki bilgileri olduğu gibi, sade bir şekilde özetliyorum.

CVE-2026-3055

Açıklama: Insufficient input validation leading to memory overread (out-of-bounds read).

Severity: CVSS v4.0 Base Score 9.3 (Critical)

Ne zaman etkilenir: SAML IDP (Identity Provider) konfigürasyonunuz varsa etkilenir.

Etkilenen versiyonlar:

  • NetScaler ADC and NetScaler Gateway 14.1 before build 14.1-60.58
  • NetScaler ADC and NetScaler Gateway 13.1 before build 13.1-62.23
  • NetScaler ADC FIPS and NDcPP before build 13.1-37.262

Düzeltilmiş versiyonlar:

  • 14.1 build 14.1-60.58 and later
  • 13.1 build 13.1-62.23 and later
  • FIPS and NDcPP build 13.1-37.262 and later

Nasıl kontrol edilir?:

Mevcut konfigürasyonunuz üzerinde aşağıdaki komutu çalıştırmanız yeterli olacaktır:

add authentication samlIdPProfile

Eğer bu satır varsa ve kullandığınız build yukarıdaki etkilenen aralıkta ise, sistem bu vulnerability’den etkileniyor.

CVE-2026-4368

Açıklama: Race condition leading to user session mix-up.

Severity: CVSS v4.0 Base Score 7.7 (High)

Ne zaman etkilenir?: Gateway (SSL VPN, ICA Proxy, CVPN, RDP Proxy) olarak konumlandırılmış veya AAA virtual server konfigürasyonları etkilenmektedir.

Etkilenen versiyonlar: Yalnızca NetScaler ADC ve NetScaler Gateway build 14.1-66.54

Düzeltilen versiyonlar: 14.1 build 14.1-66.59 and later

Nasıl kontrol edilir?:

Mevcut konfigürasyonunuz üzerinde aşağıdaki komutu çalıştırmanız yeterli olacaktır:

add authentication vserver

add vpn vserver

Bu satırlardan herhangi biri varsa ve build tam olarak 14.1-66.54 ise, bu vulnerability aktif olarak etkiliyor.

Ne Yapmalıyız?

Citrix’in tavsiyesi çok net: Etkilenen build’lerde belirtilen fixed versiyonlara upgrade yapılması gerekiyor. Herhangi bir workaround yok.

Not: Bu bülten sadece kendi yönettiğiniz (on-prem veya self-managed) NetScaler ADC ve Gateway cihazlarını kapsıyor. Citrix Cloud üzerinden yönetilen sistemler otomatik olarak güncellendiği için etkilenmiyor.

13.0 ve daha eski sürümler zaten End of Life durumunda. Bu tür sistemlerde güvenlik riski genel olarak yüksek olduğu için upgrade planlamak faydalı olur. Bu vesileyle henüz LAS konfigürasyonu yapmadıysanız beraberinde bunu da yapabilirsiniz.

Support Article: https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX696300&articleTitle=NetScaler_ADC_and_NetScaler_Gateway_Security_Bulletin_for_CVE_2026_3055_and_CVE_2026_4368&

Etiketler :

Citrix CVE 2026Citrix Security BulletinCVE-2026-3055CVE-2026-4368netscalerNetScaler ADCnetscaler gatewayNetScaler güvenlik açığıNetScaler patchNetScaler upgradeNetScaler vulnerabilityrace conditionSAML IDP

Bir Yorum Yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Benzer Yazılar