Luka CVE 2026 3055 (CVSS 9.3) to krytyczna podatność na odczyt pamięci przed uwierzytelnieniem w Citrix NetScaler ADC i Gateway, umożliwiająca nieuwierzytelnionym atakującym wyciek aktywnych tokenów sesji, danych uwie... Ataki rozpoczęły się już 4 dni po ujawnieniu luki (27 marca 2026), a masowe skanowanie i eksploa...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler appl. Article summary: **Correction:** The CVE you asked about — **CVE-2026-8451** — does not appear in any current security advisory or disclosure. The vulnerability being actively discussed under the "CitrixBleed 3" name is **CVE-2026-3055**. Topic tags: general, government, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, ch
Uwaga: Nie istnieje luka o identyfikatorze CVE-2026-8451 w żadnym obecnym biuletynie bezpieczeństwa. Podatność publicznie określana jako „CitrixBleed 3” to CVE-2026-3055 (wraz z towarzyszącą CVE-2026-4368). Ten artykuł dotyczy wyłącznie CVE-2026-3055.
CVE-2026-3055 to krytyczna (CVSS 9.3) podatność na odczyt pamięci przed uwierzytelnieniem w urządzeniach Citrix NetScaler ADC i NetScaler Gateway . Pozwala ona nieuwierzytelnionemu zdalnemu atakującemu na wyciek wrażliwych danych z pamięci urządzenia, w tym aktywnych tokenów sesji i danych uwierzytelniających. Firma Citrix ujawniła tę lukę 23 marca 2026 r. w biuletynie CTX696300
. Jest to trzecia z serii podobnych podatności „Bleed”, po CVE-2023-4966 („CitrixBleed”) i CVE-2025-5777 („CitrixBleed 2”)
.
Niewystarczająca walidacja danych wejściowych prowadzi do odczytu pamięci poza dozwolonym zakresem (CWE-125) . Urządzenie nieprawidłowo waliduje określone parametry w żądaniach uwierzytelniania SAML i WS-Federation.
/saml/login bez pola AssertionConsumerServiceURL/wsfed/passive?wctx z pustą wartością wctx Te nieprawidłowe żądania wyzwalają odczyt poza zakresem, a urządzenie zwraca zawartość pamięci w odpowiedzi HTTP .
Eksploatacja jest opisywana jako „trywialnie prosta” – wystarczy jedno nieuwierzytelnione żądanie HTTP GET lub POST . Nie są wymagane żadne specjalne narzędzia, uwierzytelnianie ani interakcja użytkownika
.
Wyciekające dane pojawiają się zakodowane w base64 wewnątrz odpowiedzi NSC_TASS .
Atakujący wykorzystali tysiące adresów IP z sieci proxy mieszkańcowych do prowadzenia rozpoznania i eksploatacji, co czyni blokowanie na podstawie IP nieskutecznym .
Firma watchTowr poinformowała o konkretnych adresach IP powiązanych ze znanymi grupami atakujących, które rozpoczęły eksploatację 27 marca .
GreyNoise i inne platformy wywiadu zagrożeń wykryły masowe skanowanie w poszukiwaniu podatnych punktów końcowych (/saml/login, /wsfed/passive) w ciągu kilku dni od ujawnienia .
Atakujący mogą ukraść aktywne tokeny sesji z pamięci i użyć ich ponownie do uwierzytelnienia się jako dowolny aktywny użytkownik, całkowicie omijając uwierzytelnianie wieloskładnikowe .
Dane uwierzytelniające wiązania LDAP i klucze podpisu SAML w pamięci mogą również zostać wykradzione, umożliwiając ruch boczny i trwały dostęp .
Ponieważ luka wycieka materiały ze ścieżki dostawcy tożsamości, po incydencie wymagana jest rotacja wszystkich sekretów, które miały styczność z tą ścieżką .
Wszystkie instancje NetScaler ADC i NetScaler Gateway skonfigurowane jako serwer wirtualny Gateway lub AAA (funkcjonujące jako dostępny z internetu dostawca tożsamości) są zagrożone .
Zastosuj poprawione wersje udostępnione 23 marca 2026 r., zgodnie z biuletynem Citrix CTX696300:
Po załataniu unieważnij wszystkie istniejące ciasteczka NSC_AAAC, NSC_TMAS i NSC_TASS oraz wymuś ponowne uwierzytelnienie dla każdego użytkownika .
Dane uwierzytelniające wiązania LDAP, klucze podpisu SAML, hasła do kont usługowych i wszelkie inne sekrety, które znajdowały się w pamięci urządzenia w okresie narażenia .
Monitoruj:
/saml/login i /wsfed/passiveTam, gdzie to możliwe, izoluj urządzenia NetScaler od sieci wewnętrznej i ogranicz łączność wychodzącą z urządzenia .
W przypadku opóźnienia łatania, wyłącz punkty końcowe SAML i WS-Federation na Gateway lub ogranicz do nich dostęp za pomocą reguł WAF/reverse-proxy. Jednak łatanie jest jedynym kompletnym rozwiązaniem .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Luka CVE 2026 3055 (CVSS 9.3) to krytyczna podatność na odczyt pamięci przed uwierzytelnieniem w Citrix NetScaler ADC i Gateway, umożliwiająca nieuwierzytelnionym atakującym wyciek aktywnych tokenów sesji, danych uwie...
Luka CVE 2026 3055 (CVSS 9.3) to krytyczna podatność na odczyt pamięci przed uwierzytelnieniem w Citrix NetScaler ADC i Gateway, umożliwiająca nieuwierzytelnionym atakującym wyciek aktywnych tokenów sesji, danych uwie... Ataki rozpoczęły się już 4 dni po ujawnieniu luki (27 marca 2026), a masowe skanowanie i eksploatacja trwają nadal, z nową falą ataków na początku czerwca 2026.
Atakujący wykorzystują sieci tysięcy proxy mieszkańcowych, co uniemożliwia blokowanie na podstawie adresów IP.