一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月31日、NetScaler ADCおよびNetScaler Gatewayにおける境界外読み取りの脆弱性(CVE-2026-3055)に関する注意喚起を発表した。影響を受けるシステムは以下の通り。
・境界外読み取りの脆弱性(CVE-2026-3055)
NetScaler ADCおよびNetScaler Gateway14.1-60.58より前のバージョン
NetScaler ADCおよびNetScaler Gateway13.1-62.23より前のバージョン
NetScaler ADC FIPSおよびNDcPP 13.1-37.262より前のバージョン
※Citrix ADCまたはCitrix GatewayをSAML IDPとして構成している場合に影響を受ける
・競合状態の脆弱性(CVE-2026-4368)
NetScaler ADCおよびNetScaler Gateway 14.1-66.54
※アプライアンスをゲートウェイ(SSL VPN、ICAプロキシ、CVPN、RDPプロキシ)またはAAA仮想サーバとして構成している場合に影響を受ける
Cloud Software Groupは現地時間3月23日に、Citrix NetScaler ADCおよびNetScaler Gatewayに関する2件の脆弱性(CVE-2026-3055、CVE-2026-4368)情報を公表している。CVE-2026-3055は境界外読み取りの脆弱性で、遠隔の第三者によって意図しないメモリ領域のデータが読み取られる可能性がある。
本脆弱性は、同製品で過去に悪用が確認されているCitrix Bleed(CVE-2023-4966)およびCitrix Bleed 2(CVE-2025-5777)の脆弱性との類似点が海外セキュリティ企業によって指摘されており、2026年3月31日時点で海外のセキュリティ企業から、悪用に関する観測情報や詳細な技術情報を解説するレポートが公表されている。
Cloud Software Groupでは、本脆弱性を修正したバージョンへのアップグレードを推奨しており、十分なテストを実施の上で、修正済みバージョンの適用を検討するよう呼びかけている。
