CVE 2026 3055 är en kritisk (CVSS 9,3) minnessårbarhet i Citrix NetScaler ADC och Gateway som tillåter obehöriga angripare att läcka sessionsnycklar och inloggningsuppgifter. Sårbarheten, som kallas CitrixBleed 3, utnyttjas redan aktivt i det vilda – bara dagar efter offentliggörandet.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler appl. Article summary: **Correction:** The CVE you asked about — **CVE-2026-8451** — does not appear in any current security advisory or disclosure. The vulnerability being actively discussed under the "CitrixBleed 3" name is **CVE-2026-3055**. Topic tags: general, government, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, ch
Rättelse: Ingen sårbarhet med beteckningen CVE-2026-8451 finns i någon aktuell säkerhetsvarning. Den sårbarhet som offentligt diskuteras under namnet "CitrixBleed 3" är CVE-2026-3055 (med kompletterande CVE-2026-4368). Denna artikel täcker enbart CVE-2026-3055.
CVE-2026-3055 är en kritisk (CVSS 9,3) minnessårbarhet för minnesavläsning före autentisering i Citrix NetScaler ADC och NetScaler Gateway . Den gör det möjligt för en oautentiserad fjärrangripare att läcka känslig data från enhetens minne, inklusive aktiva sessionsnycklar och inloggningsuppgifter. Citrix offentliggjorde sårbarheten den 23 mars 2026 via säkerhetsvarningen CTX696300
. Det är den tredje i en serie relaterade "Bleed"-sårbarheter, efter CVE-2023-4966 ("CitrixBleed") och CVE-2025-5777 ("CitrixBleed 2")
.
Otillräcklig indatavalidering leder till en minnesavläsning utanför avsett område (CWE-125) . Enheten misslyckas med att korrekt validera specifika parametrar i SAML- och WS-Federation-autentiseringsbegäranden.
/saml/login utan fältet AssertionConsumerServiceURL/wsfed/passive?wctx med ett tomt wctx-värde Dessa felaktiga förfrågor utlöser en minnesavläsning, och enheten returnerar minnesinnehåll i sitt HTTP-svar .
Exploateringen beskrivs som "trivialt enkel" – en enda oautentiserad HTTP GET- eller POST-förfrågan är tillräcklig . Inga speciella verktyg, autentisering eller användarinteraktion krävs
.
Läckt data visas base64-kodad inuti NSC_TASS-svaret .
Angripare använde tusentals residential proxy-IP-adresser för spaning och exploatering, vilket gjorde blockering av käll-IP ineffektivt .
watchTowr rapporterade specifika käll-IP-adresser kopplade till kända hotaktörsgrupper som började exploatera den 27 mars .
GreyNoise och andra hotintelligensplattformar upptäckte massgenomsökning av sårbara slutpunkter (/saml/login, /wsfed/passive) inom dagar efter offentliggörandet .
Angripare kan stjäla aktiva sessionsnycklar från minnet och återanvända dem för att autentisera sig som vilken aktiv användare som helst, vilket helt kringgår tvåfaktorsautentisering .
LDAP-bindningsuppgifter och SAML-signeringsnycklar i minnet kan också exfiltreras, vilket möjliggör lateral förflyttning och ihållande åtkomst .
Eftersom sårbarheten läcker material från identitetsproviderns sökväg krävs rotation av alla hemligheter som "berörts" av den sökvägen efter en incident .
Alla NetScaler ADC- och NetScaler Gateway-instanser som är konfigurerade som en Gateway- eller AAA-virtuell server (internetvänd identitetsproviderroll) påverkas .
Applicera de fasta versioner som släpptes den 23 mars 2026 enligt Citrix varning CTX696300:
Efter patchning, ogiltigförklara alla befintliga NSC_AAAC-, NSC_TMAS- och NSC_TASS-cookies och tvinga fram omautentisering för varje användare .
LDAP-bindningsuppgifter, SAML-signeringsnycklar, tjänstkontolösenord och andra hemligheter som funnits i enhetens minne under exponeringsfönstret .
Övervaka efter:
/saml/login och /wsfed/passiveIsolera NetScaler-enheter från det interna nätverket där det är möjligt och begränsa utgående anslutningar från enheten .
Om patchning försenas, inaktivera SAML- och WS-Federation-slutpunkter på Gatewayen eller begränsa åtkomst till dem via WAF/reverse-proxy-regler. Patchning är den enda fullständiga lösningen .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
CVE 2026 3055 är en kritisk (CVSS 9,3) minnessårbarhet i Citrix NetScaler ADC och Gateway som tillåter obehöriga angripare att läcka sessionsnycklar och inloggningsuppgifter.
CVE 2026 3055 är en kritisk (CVSS 9,3) minnessårbarhet i Citrix NetScaler ADC och Gateway som tillåter obehöriga angripare att läcka sessionsnycklar och inloggningsuppgifter. Sårbarheten, som kallas CitrixBleed 3, utnyttjas redan aktivt i det vilda – bara dagar efter offentliggörandet.
Exploatering kräver en enda oautentiserad HTTP förfrågan och kan leda till kapning av aktiva sessioner och fullständigt kringgående av tvåfaktorsautentisering (MFA).