据Defused Cyber和watchTowr监测，近期披露的影响Citrix NetScaler ADC和NetScaler Gateway的关键安全漏洞正遭受主动侦察活动。

该漏洞CVE-2026-3055（CVSS评分9.3）源于输入验证不足导致的内存越界读取，攻击者可利用其泄露潜在敏感信息。Citrix指出，成功利用该漏洞的前提是设备配置为SAML身份提供商（SAML IDP）。

Defused Cyber在X平台发文称：”我们现已在野外观察到针对NetScaler ADC/Gateway的认证方法探测活动。攻击者正在探测/cgi/GetAuthMethods端点，以枚举我们Citrix蜜罐中启用的认证流程。”

这很可能是威胁行为体试图确认NetScaler ADC和NetScaler Gateway是否确实配置为SAML IDP。

watchTowr在类似警告中表示，已在其蜜罐网络中检测到针对NetScaler实例的主动侦察，野外利用可能随时发生。

“运行受影响版本和配置的Citrix NetScaler的组织需立即停下手头工作并修补漏洞，”该公司警告，”一旦攻击者侦察转为主动利用，响应窗口将瞬间消失。”

该漏洞影响以下版本：

• NetScaler ADC和NetScaler Gateway 14.1（14.1-66.59之前版本）

• NetScaler ADC和NetScaler Gateway 13.1（13.1-62.23之前版本）

• NetScaler ADC 13.1-FIPS和13.1-NDcPP（13.1-37.262之前版本）

近年来，多个NetScaler安全漏洞已遭野外主动利用，包括CVE-2023-4966（Citrix Bleed）、CVE-2025-5777（Citrix Bleed 2）、CVE-2025-6543和CVE-2025-7775。

因此，用户务必尽快更新至最新版本——这不是”是否会被利用”的问题，而是”何时被利用”的问题。