CVE 2026 3055 est une vulnérabilité critique (CVSS 9,3) de dépassement de mémoire (out of bounds read) dans les appliances Citrix NetScaler ADC et NetScaler Gateway, permettant à un attaquant non authentifié de dérobe... L'exploitation est « trivialement simple » : une unique requête HTTP GET ou POST non authentifié...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler appl. Article summary: **Correction:** The CVE you asked about — **CVE-2026-8451** — does not appear in any current security advisory or disclosure. The vulnerability being actively discussed under the "CitrixBleed 3" name is **CVE-2026-3055**. Topic tags: general, government, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, ch
Correction : Aucune vulnérabilité identifiée sous le nom CVE-2026-8451 n'existe dans aucun avis de sécurité actuel. La faille connue publiquement sous le nom de "CitrixBleed 3" est CVE-2026-3055 (avec sa compagne CVE-2026-4368). Cet article traite exclusivement de CVE-2026-3055.
CVE-2026-3055 est une vulnérabilité critique (CVSS 9.3) de dépassement de mémoire (memory overread) avant authentification dans les appliances Citrix NetScaler ADC et NetScaler Gateway . Elle permet à un attaquant distant non authentifié de divulguer des données sensibles de la mémoire de l'appareil, y compris des jetons de session actifs et des identifiants. Citrix a divulgué cette faille le 23 mars 2026 via l'avis CTX696300
. Il s'agit du troisième volet d'une série de vulnérabilités de type "Bleed", après CVE-2023-4966 ("CitrixBleed") et CVE-2025-5777 ("CitrixBleed 2")
.
Une validation d'entrée insuffisante conduit à une lecture mémoire hors limites (CWE-125) . L'appliance ne parvient pas à valider correctement des paramètres spécifiques dans les demandes d'authentification SAML et WS-Federation.
/saml/login sans le champ AssertionConsumerServiceURL/wsfed/passive?wctx avec une valeur wctx vide Ces requêtes malformées déclenchent une surlecture, et l'appliance renvoie le contenu de sa mémoire dans sa réponse HTTP .
L'exploitation est qualifiée de "trivialement simple" — une seule requête HTTP GET ou POST non authentifiée suffit . Aucun outil spécial, aucune authentification ni interaction utilisateur n'est nécessaire
.
Les données divulguées apparaissent encodées en base64 dans la réponse NSC_TASS .
Les attaquants ont utilisé des milliers d'adresses IP de proxys résidentiels pour mener leurs opérations de reconnaissance et d'exploitation, rendant le blocage par adresse IP source inefficace .
watchTowr a signalé des adresses IP sources spécifiques liées à des groupes d'acteurs menaçants connus, qui ont commencé l'exploitation le 27 mars .
GreyNoise et d'autres plateformes de renseignement sur les menaces ont détecté un balayage massif des points d'accès vulnérables (/saml/login, /wsfed/passive) dans les jours suivant la divulgation .
Les attaquants peuvent voler des jetons de session actifs dans la mémoire et les réutiliser pour s'authentifier en tant que n'importe quel utilisateur actif, contournant complètement l'authentification multifacteur .
Les identifiants de liaison LDAP et les clés de signature SAML, également présents en mémoire, peuvent être exfiltrés, permettant des mouvements latéraux et un accès persistant .
Comme la faille divulgue des informations provenant du chemin du fournisseur d'identité, la rotation de tous les secrets "touchés" par ce chemin est nécessaire après l'incident .
Toutes les instances de NetScaler ADC et NetScaler Gateway configurées en tant que serveur virtuel Gateway ou AAA (rôle de fournisseur d'identité exposé à Internet) sont concernées .
Appliquez les versions corrigées publiées le 23 mars 2026, conformément à l'avis Citrix CTX696300 :
Après la correction, invalidez tous les cookies NSC_AAAC, NSC_TMAS et NSC_TASS existants et forcez la ré-authentification de chaque utilisateur .
Identifiants de liaison LDAP, clés de signature SAML, mots de passe des comptes de service et tout autre secret présent dans la mémoire de l'appliance pendant la fenêtre d'exposition .
Surveillez :
/saml/login et /wsfed/passiveIsolez les appliances NetScaler du réseau interne dans la mesure du possible et limitez la connectivité sortante de l'appliance .
En cas de report de la correction, désactivez les points d'accès SAML et WS-Federation sur la Gateway ou restreignez l'accès à ceux-ci via des règles WAF/proxy inverse. La correction reste la seule solution complète .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
CVE 2026 3055 est une vulnérabilité critique (CVSS 9,3) de dépassement de mémoire (out of bounds read) dans les appliances Citrix NetScaler ADC et NetScaler Gateway, permettant à un attaquant non authentifié de dérobe...
CVE 2026 3055 est une vulnérabilité critique (CVSS 9,3) de dépassement de mémoire (out of bounds read) dans les appliances Citrix NetScaler ADC et NetScaler Gateway, permettant à un attaquant non authentifié de dérobe... L'exploitation est « trivialement simple » : une unique requête HTTP GET ou POST non authentifiée suffit.
La faille a été divulguée le 23 mars 2026. Les premières exploitations actives ont été confirmées dès le 27 mars 2026, soit seulement quatre jours après la divulgation.