CVE 2026 3055 er en kritisk (CVSS 9.3) hukommelsesoverlæsningssårbarhed i Citrix NetScaler ADC og Gateway, der giver uautoriserede angribere mulighed for at lække aktive sessions tokens, LDAP legitimationsoplysninger... Sårbarheden blev offentliggjort 23.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler appl. Article summary: **Correction:** The CVE you asked about — **CVE-2026-8451** — does not appear in any current security advisory or disclosure. The vulnerability being actively discussed under the "CitrixBleed 3" name is **CVE-2026-3055**. Topic tags: general, government, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, ch
CVE-2026-3055 er en kritisk (CVSS 9.3) hukommelsesoverlæsningssårbarhed før godkendelse i Citrix NetScaler ADC og NetScaler Gateway . Den gør det muligt for en uautoriseret fjernangriber at lække følsomme data fra apparatets hukommelse, herunder aktive sessions-tokens og legitimationsoplysninger. Citrix offentliggjorde sårbarheden den 23. marts 2026 via advisories CTX696300
. Det er den tredje i en række af relaterede "Bleed"-sårbarheder efter CVE-2023-4966 ("CitrixBleed") og CVE-2025-5777 ("CitrixBleed 2")
.
Utilstrækkelig inputvalidering fører til en uden for grænserne-hukommelseslæsning (CWE-125) . Apparatet validerer ikke korrekt specifikke parametre i SAML- og WS-Federation-godkendelsesanmodninger.
/saml/login uden feltet AssertionConsumerServiceURL/wsfed/passive?wctx med en tom wctx-værdi Disse misdannede anmodninger udløser en overlæsning, og apparatet returnerer hukommelsesindhold i sit HTTP-svar .
Udnyttelsen beskrives som "trivielt enkel" – en enkelt uautoriseret HTTP GET- eller POST-anmodning er tilstrækkelig . Der kræves ingen særlige værktøjer, godkendelse eller brugerinteraktion
.
Lækkede data vises base64-kodet i NSC_TASS-svaret .
Angribere brugte tusindvis af bolig-proxy-IP'er til at udføre rekognoscering og udnyttelse, hvilket gør blokering baseret på kilde-IP ineffektiv .
watchTowr rapporterede specifikke kilde-IP'er knyttet til kendte trusselsaktørgrupper, der begyndte udnyttelse den 27. marts .
GreyNoise og andre trusselsintelligensplatforme opdagede massescanning efter sårbare slutpunkter (/saml/login, /wsfed/passive) inden for dage efter offentliggørelsen .
Angribere kan stjæle aktive sessions-tokens fra hukommelsen og genbruge dem til at godkende som enhver aktiv bruger, hvilket fuldstændigt omgår multifaktorgodkendelse .
LDAP-bindingslegitimationsoplysninger og SAML-signeringsnøgler i hukommelsen kan også eksfiltreres, hvilket muliggør lateral bevægelse og vedvarende adgang .
Fordi fejlen lækker materiale fra identitetsudbyderstien, er rotation af alle hemmeligheder "berørt" af denne sti nødvendig efter en hændelse .
Alle NetScaler ADC- og NetScaler Gateway-instanser konfigureret som en Gateway- eller AAA-virtuel server (internetvendt identitetsudbyderrolle) er påvirket .
Anvend de rettede versioner, der blev udgivet den 23. marts 2026, i henhold til Citrix-advisory CTX696300:
Empatchningen skal alle eksisterende NSC_AAAC-, NSC_TMAS- og NSC_TASS-cookies ugyldiggøres, og alle brugere skal tvinges til at godkende igen .
LDAP-bindingslegitimationsoplysninger, SAML-signeringsnøgler, servicekonto-adgangskoder og alle andre hemmeligheder, der var til stede i apparatets hukommelse i eksponeringsvinduet .
Overvåg efter:
/saml/login og /wsfed/passive-slutpunkterIsolér NetScaler-apparater fra det interne netværk, hvor det er muligt, og begræns udgående forbindelser fra apparatet .
Hvis opdateringen bliver forsinket, skal SAML- og WS-Federation-slutpunkter på Gatewayen deaktiveres eller adgangen til dem begrænses via WAF/reverse-proxy-regler. Opdatering er den eneste komplette løsning .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
CVE 2026 3055 er en kritisk (CVSS 9.3) hukommelsesoverlæsningssårbarhed i Citrix NetScaler ADC og Gateway, der giver uautoriserede angribere mulighed for at lække aktive sessions tokens, LDAP legitimationsoplysninger...
CVE 2026 3055 er en kritisk (CVSS 9.3) hukommelsesoverlæsningssårbarhed i Citrix NetScaler ADC og Gateway, der giver uautoriserede angribere mulighed for at lække aktive sessions tokens, LDAP legitimationsoplysninger... Sårbarheden blev offentliggjort 23. marts 2026, og allerede 4 dage senere observerede watchTowr Labs aktiv udnyttelse fra kendte trusselsaktører.
Angrebene udnytter bolig proxy netværk med tusindvis af IP adresser, hvilket gør blokering baseret på kilde IP ineffektiv.