CVE 2026 3055 adalah celah keamanan kritis (CVSS 9.3) pada Citrix NetScaler ADC dan Gateway yang memungkinkan penyerang tanpa autentikasi mencuri token sesi aktif dan kredensial langsung dari memori perangkat [1][3]. Eksploitasi sangat mudah: cukup dengan satu permintaan HTTP GET/POST yang dibuat khusus ke endpoint...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler appl. Article summary: **Correction:** The CVE you asked about — **CVE-2026-8451** — does not appear in any current security advisory or disclosure. The vulnerability being actively discussed under the "CitrixBleed 3" name is **CVE-2026-3055**. Topic tags: general, government, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, ch
Koreksi penting: Tidak ada kerentanan dengan nomor CVE-2026-8451 dalam advisory keamanan mana pun. Celah yang sedang hangat dibahas dengan julukan "CitrixBleed 3" adalah CVE-2026-3055 (bersama pendampingnya CVE-2026-4368). Artikel ini membahas CVE-2026-3055 secara eksklusif.
CVE-2026-3055 adalah kerentanan memory overread kritis (CVSS 9.3) yang memungkinkan penyerang jarak jauh tanpa autentikasi untuk membocorkan data sensitif dari memori perangkat Citrix NetScaler ADC dan NetScaler Gateway . Celah ini diumumkan oleh Citrix pada 23 Maret 2026 melalui advisory CTX696300
. Ini adalah yang ketiga dalam rangkaian kerentanan "Bleed" setelah CVE-2023-4966 (CitrixBleed) dan CVE-2025-5777 (CitrixBleed 2)
.
Validasi input yang tidak memadai menyebabkan pembacaan memori di luar batas (CWE-125) . Perangkat gagal memvalidasi parameter tertentu dalam permintaan autentikasi SAML dan WS-Federation dengan benar.
/saml/login tanpa field AssertionConsumerServiceURL/wsfed/passive?wctx dengan nilai wctx kosong Permintaan yang salah ini memicu overread, dan perangkat mengembalikan isi memorinya dalam respons HTTP .
Eksploitasi digambarkan sangat mudah — cukup satu permintaan HTTP GET atau POST tanpa autentikasi . Tidak diperlukan alat khusus, autentikasi, atau interaksi pengguna
.
Data yang bocor muncul dalam format base64 di dalam respons NSC_TASS .
Penyerang menggunakan ribuan IP proxy residensial untuk melakukan rekonsiliasi dan eksploitasi, membuat pemblokiran berdasarkan IP sumber menjadi tidak efektif .
watchTowr melaporkan IP sumber spesifik yang terkait dengan grup aktor ancaman yang memulai eksploitasi pada 27 Maret .
GreyNoise dan platform intelijen ancaman lainnya mendeteksi pemindaian massal untuk endpoint yang rentan (/saml/login, /wsfed/passive) dalam beberapa hari setelah pengumuman .
Penyerang dapat mencuri token sesi aktif dari memori dan menggunakannya kembali untuk mengautentikasi sebagai pengguna aktif mana pun, sepenuhnya melewati autentikasi multi-faktor .
Kredensial bind LDAP dan kunci signing SAML di memori juga dapat dieksfiltrasi, memungkinkan pergerakan lateral dan akses persisten .
Karena celah ini membocorkan materi dari jalur penyedia identitas, rotasi semua rahasia yang "tersentuh" oleh jalur itu diperlukan pasca-insiden .
Semua instance NetScaler ADC dan NetScaler Gateway yang dikonfigurasi sebagai server virtual Gateway atau AAA (peran penyedia identitas yang menghadap internet) terpengaruh .
Terapkan versi yang diperbaiki yang dirilis pada 23 Maret 2026, sesuai advisory Citrix CTX696300:
Setelah patching, nonaktifkan semua cookie NSC_AAAC, NSC_TMAS, dan NSC_TASS yang ada dan paksa autentikasi ulang untuk setiap pengguna .
Kredensial bind LDAP, kunci signing SAML, kata sandi akun layanan, dan rahasia lain yang ada di memori perangkat selama jendela eksposur .
Pantau:
/saml/login dan /wsfed/passiveIsolasikan perangkat NetScaler dari jaringan internal jika memungkinkan, dan batasi konektivitas keluar dari perangkat .
Jika patching tertunda, nonaktifkan endpoint SAML dan WS-Federation di Gateway atau batasi aksesnya melalui aturan WAF/reverse-proxy. Patching adalah satu-satunya solusi lengkap .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
CVE 2026 3055 adalah celah keamanan kritis (CVSS 9.3) pada Citrix NetScaler ADC dan Gateway yang memungkinkan penyerang tanpa autentikasi mencuri token sesi aktif dan kredensial langsung dari memori perangkat [1][3].
CVE 2026 3055 adalah celah keamanan kritis (CVSS 9.3) pada Citrix NetScaler ADC dan Gateway yang memungkinkan penyerang tanpa autentikasi mencuri token sesi aktif dan kredensial langsung dari memori perangkat [1][3]. Eksploitasi sangat mudah: cukup dengan satu permintaan HTTP GET/POST yang dibuat khusus ke endpoint /saml/login atau /wsfed/passive [15].
Celah ini sudah dieksploitasi secara aktif di alam liar hanya dalam waktu 4 hari setelah pengumuman resmi (23 Maret 2026) [3][5].