CVE 2026 3055 هي ثغرة حرجة (CVSS 9.3) لقراءة الذاكرة قبل المصادقة في Citrix NetScaler ADC وGateway، تسمح للمهاجمين غير المصادق عليهم بتسريب رموز الجلسة النشطة وبيانات اعتماد LDAP ومفاتيح SAML. تم الإفصاح عنها في 23 مارس 2026، وبدأ استغلالها في البرية بعد 4 أيام فقط، وأضافتها CISA إلى كتالوج الثغرات المستغلة المعروفة...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler appl. Article summary: **Correction:** The CVE you asked about — **CVE-2026-8451** — does not appear in any current security advisory or disclosure. The vulnerability being actively discussed under the "CitrixBleed 3" name is **CVE-2026-3055**. Topic tags: general, government, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, ch
تصحيح: لا توجد ثغرة تحمل الرقم CVE-2026-8451 في أي إشعار أمني حالي. الثغرة التي يتم تداولها باسم "CitrixBleed 3" هي CVE-2026-3055 (مع الثغرة المصاحبة CVE-2026-4368). يغطي هذا المقال CVE-2026-3055 حصريًا.
CVE-2026-3055 هي ثغرة حرجة (CVSS 9.3) لقراءة زائدة للذاكرة قبل المصادقة في Citrix NetScaler ADC وNetScaler Gateway . تسمح لمهاجم عن بعد غير مصادق بتسريب بيانات حساسة من ذاكرة الجهاز، بما في ذلك رموز الجلسة النشطة وبيانات الاعتماد. أفصحت Citrix عن الثغرة في 23 مارس 2026 عبر النشرة CTX696300
. وهي الثالثة في سلسلة من ثغرات "Bleed" ذات الصلة، بعد CVE-2023-4966 ("CitrixBleed") وCVE-2025-5777 ("CitrixBleed 2")
.
يؤدي التحقق غير الكافي من المدخلات إلى قراءة ذاكرة خارج الحدود (CWE-125) . يفشل الجهاز في التحقق بشكل صحيح من معاملات محددة في طلبات مصادقة SAML وWS-Federation.
/saml/login بدون حقل AssertionConsumerServiceURL/wsfed/passive?wctx بقيمة wctx فارغة تؤدي هذه الطلبات المشوهة إلى قراءة زائدة للذاكرة، ويعيد الجهاز محتويات الذاكرة في استجابة HTTP الخاصة به .
يُوصف الاستغلال بأنه "بسيط بشكل تافه" — طلب HTTP GET أو POST واحد غير مصادق عليه كافٍ . لا يتطلب أي أدوات خاصة أو مصادقة أو تفاعل من المستخدم
.
تظهر البيانات المسربة بترميز base64 داخل استجابة NSC_TASS .
استخدم المهاجمون آلاف عناوين IP للوكلاء السكنيين لإجراء الاستطلاع والاستغلال، مما جعل حظر IP المصدر غير فعال .
أبلغت watchTowr عن عناوين IP محددة مرتبطة بمجموعات تهديدات معروفة بدأت الاستغلال في 27 مارس .
اكتشفت GreyNoise ومنصات استخبارات التهديدات الأخرى مسحًا جماعيًا لنقاط النهاية الضعيفة (/saml/login، /wsfed/passive) في غضون أيام من الإفصاح .
يمكن للمهاجمين سرقة رموز الجلسة النشطة من الذاكرة وإعادة استخدامها للمصادقة كأي مستخدم نشط، متجاوزين تمامًا المصادقة متعددة العوامل .
يمكن أيضًا تسريب بيانات اعتماد ربط LDAP ومفاتيح توقيع SAML الموجودة في الذاكرة، مما يتيح الحركة الجانبية والوصول المستمر .
نظرًا لأن الثغرة تسرب مواد من مسار مزود الهوية، فإن تدوير جميع الأسرار التي "لمسها" هذا المسار مطلوب بعد الحادث .
تتأثر جميع مثيلات NetScaler ADC وNetScaler Gateway التي تم تكوينها كخادم افتراضي Gateway أو AAA (دور مزود هوية مواجه للإنترنت) .
طبّق الإصدارات المُصححة الصادرة في 23 مارس 2026، وفقًا لنشرة Citrix CTX696300:
بعد التصحيح، قم بإبطال جميع ملفات تعريف الارتباط NSC_AAAC وNSC_TMAS وNSC_TASS الحالية وفرض إعادة المصادقة لكل مستخدم .
بيانات اعتماد ربط LDAP ومفاتيح توقيع SAML وكلمات مرور حسابات الخدمة وأي أسرار أخرى كانت موجودة في ذاكرة الجهاز خلال فترة التعرض .
راقب ما يلي:
/saml/login و/wsfed/passiveاعزل أجهزة NetScaler عن الشبكة الداخلية حيثما أمكن، وحدد الاتصال الصادر من الجهاز .
إذا تأخر التصحيح، قم بتعطيل نقاط نهاية SAML وWS-Federation على Gateway أو قيد الوصول إليها عبر قواعد WAF/الخادم الوكيل العكسي. التصحيح هو الحل الكامل الوحيد .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
CVE 2026 3055 هي ثغرة حرجة (CVSS 9.3) لقراءة الذاكرة قبل المصادقة في Citrix NetScaler ADC وGateway، تسمح للمهاجمين غير المصادق عليهم بتسريب رموز الجلسة النشطة وبيانات اعتماد LDAP ومفاتيح SAML.
CVE 2026 3055 هي ثغرة حرجة (CVSS 9.3) لقراءة الذاكرة قبل المصادقة في Citrix NetScaler ADC وGateway، تسمح للمهاجمين غير المصادق عليهم بتسريب رموز الجلسة النشطة وبيانات اعتماد LDAP ومفاتيح SAML. تم الإفصاح عنها في 23 مارس 2026، وبدأ استغلالها في البرية بعد 4 أيام فقط، وأضافتها CISA إلى كتالوج الثغرات المستغلة المعروفة (KEV) في 31 مارس 2026.
الهجوم بسيط للغاية: طلب HTTP واحد غير مصادق عليه إلى /saml/login أو /wsfed/passive كافٍ لتسريب بيانات حساسة من الذاكرة.