CVE 2026 3055 is een kritieke (CVSS 9.3) memory overread kwetsbaarheid in Citrix NetScaler ADC en Gateway, waarmee niet geauthenticeerde aanvallers actieve sessietokens, LDAP referenties en SAML sleutels kunnen stelen. De kwetsbaarheid werd op 23 maart 2026 door Citrix onthuld.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler appl. Article summary: **Correction:** The CVE you asked about — **CVE-2026-8451** — does not appear in any current security advisory or disclosure. The vulnerability being actively discussed under the "CitrixBleed 3" name is **CVE-2026-3055**. Topic tags: general, government, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, ch
Correctie: Er bestaat geen kwetsbaarheid met de identificatie CVE-2026-8451 in enige huidige security advisory. Het beveiligingslek dat publiekelijk onder de naam "CitrixBleed 3" wordt besproken, is CVE-2026-3055 (met begeleidende CVE-2026-4368). Dit artikel behandelt uitsluitend CVE-2026-3055.
CVE-2026-3055 is een kritieke (CVSS 9.3) pre-authenticatie memory overread-kwetsbaarheid in Citrix NetScaler ADC en NetScaler Gateway . Het stelt een niet-geauthenticeerde externe aanvaller in staat om gevoelige gegevens uit het appliance-geheugen te lekken, waaronder actieve sessietokens en inloggegevens. Citrix maakte het lek op 23 maart 2026 bekend via advisory CTX696300
. Het is de derde in een reeks gerelateerde "Bleed"-kwetsbaarheden, na CVE-2023-4966 ("CitrixBleed") en CVE-2025-5777 ("CitrixBleed 2")
.
Onvoldoende invoervalidatie leidt tot een out-of-bounds geheugenlezing (CWE-125) . Het appliance slaagt er niet in om specifieke parameters in SAML- en WS-Federation-authenticatieverzoeken correct te valideren.
/saml/login zonder het veld AssertionConsumerServiceURL/wsfed/passive?wctx met een lege wctx-waarde Deze misvormde verzoeken veroorzaken een overread, waarna het appliance de geheugeninhoud retourneert in zijn HTTP-antwoord .
Exploitatie wordt omschreven als "triviaal eenvoudig" — een enkel niet-geauthenticeerd HTTP GET- of POST-verzoek is voldoende . Er zijn geen speciale tools, authenticatie of gebruikersinteractie vereist
.
Gelekte gegevens verschijnen base64-gecodeerd in de NSC_TASS-respons .
Aanvallers gebruikten duizenden residential proxy-IP's voor verkenning en exploitatie, waardoor blokkering op basis van bron-IP ineffectief werd .
watchTowr rapporteerde specifieke bron-IP's die aan bekende dreigingsactoren zijn gekoppeld en die op 27 maart met exploitatie begonnen .
GreyNoise en andere threat intelligence-platforms detecteerden massascans op kwetsbare endpoints (/saml/login, /wsfed/passive) binnen dagen na de bekendmaking .
Aanvallers kunnen actieve sessietokens uit het geheugen stelen en deze hergebruiken om zich als elke actieve gebruiker te authenticeren, waarbij multi-factor authenticatie volledig wordt omzeild .
LDAP-bindingsreferenties en SAML-ondertekeningssleutels in het geheugen kunnen ook worden geëxfiltreerd, wat laterale beweging en persistente toegang mogelijk maakt .
Omdat het lek materiaal uit het identiteitsproviderpad lekt, is rotatie van alle geheimen die door dat pad zijn "aangeraakt" vereist na een incident .
Alle NetScaler ADC- en NetScaler Gateway-instanties die zijn geconfigureerd als een Gateway- of AAA-virtuele server (internetgerichte identiteitsproviderrol) zijn getroffen .
Pas de op 23 maart 2026 uitgebrachte gefixeerde versies toe, zoals vermeld in Citrix-advisory CTX696300:
Na het patchen: annuleer alle bestaande NSC_AAAC-, NSC_TMAS- en NSC_TASS-cookies en dwing herauthenticatie af voor elke gebruiker .
LDAP-bindingsreferenties, SAML-ondertekeningssleutels, serviceaccount-wachtwoorden en alle andere geheimen die tijdens het blootstellingsvenster in het appliance-geheugen aanwezig waren .
Monitor op:
/saml/login en /wsfed/passive endpointsIsoleer NetScaler-appliances waar mogelijk van het interne netwerk en beperk uitgaande connectiviteit vanaf het appliance .
Als patchen wordt uitgesteld, schakel dan SAML- en WS-Federation-endpoints op de Gateway uit of beperk de toegang ertoe via WAF/reverse-proxy-regels. Patchen is de enige volledige oplossing .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
CVE 2026 3055 is een kritieke (CVSS 9.3) memory overread kwetsbaarheid in Citrix NetScaler ADC en Gateway, waarmee niet geauthenticeerde aanvallers actieve sessietokens, LDAP referenties en SAML sleutels kunnen stelen.
CVE 2026 3055 is een kritieke (CVSS 9.3) memory overread kwetsbaarheid in Citrix NetScaler ADC en Gateway, waarmee niet geauthenticeerde aanvallers actieve sessietokens, LDAP referenties en SAML sleutels kunnen stelen. De kwetsbaarheid werd op 23 maart 2026 door Citrix onthuld. Binnen vier dagen was er al actieve exploitatie in het wild, en begin juni 2026 vond een grootschalige aanvalscampagne plaats.
Mitigatie vereist onmiddellijk patchen, het roteren van alle sessietokens en geheimen die door het identiteitspad zijn aangeraakt, en het implementeren van detectiesignaturen voor verdachte endpoint verzoeken.