CVE 2026 3055 หรือ CitrixBleed 3 เป็นช่องโหว่ร้ายแรงระดับ 9.3 ที่ทำให้หน่วยความจำของ Citrix NetScaler ADC และ Gateway รั่วไหล แฮกเกอร์ไม่ต้องล็อกอินก็สามารถขโมยโทเค็นเซสชันและข้อมูลลับต่างๆ ได้ เพียงแค่ส่งคำขอ HTTP ที่ถูกดัดแปลงไปยัง /saml/login หรือ /wsfed/passive ก็สามารถดึงข้อมูลเซสชันที่กำลังใช้งานอยู่ รวมถึงโทเ...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler appl. Article summary: **Correction:** The CVE you asked about — **CVE-2026-8451** — does not appear in any current security advisory or disclosure. The vulnerability being actively discussed under the "CitrixBleed 3" name is **CVE-2026-3055**. Topic tags: general, government, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, ch
หมายเหตุสำคัญ: ไม่มีช่องโหว่ที่ถูกระบุว่า CVE-2026-8451 อยู่ในประกาศความปลอดภัยใดๆ ในปัจจุบัน ช่องโหว่ที่มีการพูดถึงในชื่อ "CitrixBleed 3" ที่แท้จริงคือ CVE-2026-3055 (พร้อมกับ CVE-2026-4368) บทความนี้จะกล่าวถึงเฉพาะ CVE-2026-3055 เท่านั้น
CVE-2026-3055 เป็นช่องโหว่ ร้ายแรง (CVSS 9.3) แบบ Memory Overread ที่ไม่ต้องมีการยืนยันตัวตน (Pre-authentication) ใน Citrix NetScaler ADC และ NetScaler Gateway ช่องโหว่นี้เปิดทางให้ผู้โจมตีจากระยะไกลที่ไม่ต้องล็อกอิน สามารถรั่วไหลข้อมูลสำคัญจากหน่วยความจำของอุปกรณ์ รวมถึงโทเค็นเซสชันที่กำลังใช้งานอยู่และข้อมูลรับรองต่างๆ Citrix เปิดเผยช่องโหว่นี้เมื่อวันที่ 23 มีนาคม 2026 ผ่านประกาศ CTX696300
นับเป็นครั้งที่สามในซีรี่ส์ "Bleed" ต่อจาก CVE-2023-4966 ("CitrixBleed") และ CVE-2025-5777 ("CitrixBleed 2")
เกิดจากการตรวจสอบข้อมูลนำเข้า (Input Validation) ที่ไม่เพียงพอ ทำให้เกิดการอ่านหน่วยความจำนอกขอบเขต (Out-of-Bounds Read หรือ CWE-125) อุปกรณ์ไม่สามารถตรวจสอบพารามิเตอร์เฉพาะในคำขอ SAML และ WS-Federation ได้อย่างถูกต้อง
/saml/login โดยไม่มีฟิลด์ AssertionConsumerServiceURL/wsfed/passive?wctx โดยมีค่า wctx ว่างเปล่า คำขอที่ผิดปกติเหล่านี้จะทำให้เกิดการ Overread และอุปกรณ์จะส่งเนื้อหาหน่วยความจำกลับไปในการตอบสนอง HTTP
ถูกอธิบายว่า "ง่ายมาก" (trivially simple) — แค่ส่งคำขอ HTTP GET หรือ POST เพียงครั้งเดียวโดยไม่ต้องล็อกอินก็เพียงพอแล้ว ไม่จำเป็นต้องใช้เครื่องมือพิเศษ การยืนยันตัวตน หรือการโต้ตอบจากผู้ใช้
ข้อมูลที่รั่วไหลจะถูกเข้ารหัสแบบ base64 อยู่ในการตอบสนอง NSC_TASS
ผู้โจมตีใช้ IP จาก Residential Proxy Network หลายพัน IP เพื่อสอดแนมและโจมตี ทำให้การบล็อกตามแหล่ง IP ที่มาไม่ได้ผล
watchTowr รายงาน IP ต้นทางเฉพาะที่เชื่อมโยงกับกลุ่มผู้โจมตีที่รู้จัก ซึ่งเริ่มการโจมตีเมื่อวันที่ 27 มีนาคม
GreyNoise และแพลตฟอร์มข่าวกรองภัยคุกคามอื่นๆ ตรวจพบการสแกนจำนวนมหาศาลไปยังเอนด์พอยท์ที่เสี่ยง (/saml/login, /wsfed/passive) ภายในไม่กี่วันหลังการเปิดเผย
ผู้โจมตีสามารถขโมยโทเค็นเซสชันที่กำลังใช้งานจากหน่วยความจำและนำกลับมาใช้เพื่อยืนยันตัวตนในฐานะผู้ใช้คนใดก็ได้ที่กำลังใช้งานอยู่ ซึ่งเป็นการเลี่ยงการยืนยันตัวตนแบบหลายปัจจัย (MFA) โดยสิ้นเชิง
ข้อมูลรับรอง LDAP และคีย์เซ็นชื่อ SAML ในหน่วยความจำก็สามารถถูกขโมยได้เช่นกัน ทำให้ผู้โจมตีสามารถเคลื่อนที่ไปในระบบ (Lateral Movement) และเข้าถึงระบบได้อย่างต่อเนื่อง
เนื่องจากช่องโหว่นี้รั่วไหลข้อมูลจากเส้นทางของ Identity Provider (IdP) จึงจำเป็นต้องเปลี่ยนความลับทั้งหมดที่เกี่ยวข้องกับเส้นทางนั้นหลังเกิดเหตุการณ์
NetScaler ADC และ NetScaler Gateway ทุกเครื่องที่ถูกตั้งค่าเป็น Gateway หรือ AAA Virtual Server (ทำหน้าที่เป็น Identity Provider ที่เชื่อมต่ออินเทอร์เน็ต) ได้รับผลกระทบ
ใช้เวอร์ชันที่ได้รับการแก้ไขแล้วซึ่งปล่อยเมื่อวันที่ 23 มีนาคม 2026 ตามประกาศ CTX696300 ของ Citrix:
หลังจากอัปเดตแพตช์ ให้ยกเลิก NSC_AAAC, NSC_TMAS, และ NSC_TASS cookies ที่มีอยู่ทั้งหมด และบังคับให้ผู้ใช้ทุกคนยืนยันตัวตนอีกครั้ง
เปลี่ยนข้อมูลรับรอง LDAP, คีย์เซ็นชื่อ SAML, รหัสผ่านบัญชีบริการ และความลับอื่นๆ ที่เคยอยู่ในหน่วยความจำของอุปกรณ์ในช่วงเวลาที่ถูกโจมตี
เฝ้าระวัง:
/saml/login และ /wsfed/passiveแยก NetScaler appliances ออกจากเครือข่ายภายในให้มากที่สุด และจำกัดการเชื่อมต่อขาออกจากอุปกรณ์
หากเลื่อนการอัปเดตแพตช์ออกไป ให้ปิดการใช้งานเอนด์พอยท์ SAML และ WS-Federation บน Gateway หรือจำกัดการเข้าถึงผ่านกฎ WAF/Reverse-Proxy การอัปเดตแพตช์เท่านั้นที่เป็นวิธีแก้ไขที่สมบูรณ์
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
CVE 2026 3055 หรือ CitrixBleed 3 เป็นช่องโหว่ร้ายแรงระดับ 9.3 ที่ทำให้หน่วยความจำของ Citrix NetScaler ADC และ Gateway รั่วไหล แฮกเกอร์ไม่ต้องล็อกอินก็สามารถขโมยโทเค็นเซสชันและข้อมูลลับต่างๆ ได้
CVE 2026 3055 หรือ CitrixBleed 3 เป็นช่องโหว่ร้ายแรงระดับ 9.3 ที่ทำให้หน่วยความจำของ Citrix NetScaler ADC และ Gateway รั่วไหล แฮกเกอร์ไม่ต้องล็อกอินก็สามารถขโมยโทเค็นเซสชันและข้อมูลลับต่างๆ ได้ เพียงแค่ส่งคำขอ HTTP ที่ถูกดัดแปลงไปยัง /saml/login หรือ /wsfed/passive ก็สามารถดึงข้อมูลเซสชันที่กำลังใช้งานอยู่ รวมถึงโทเค็น MFA และรหัสผ่าน LDAP ได้ทันที
พบการโจมตีจริงในโลกออนไลน์ภายใน 4 วันหลังจาก Citrix ประกาศแพตช์ CISA ได้บรรจุช่องโหว่นี้ใน Known Exploited Vulnerabilities Catalog แล้ว