CVE 2026 3055, Citrix NetScaler ADC ve Gateway cihazlarında bulunan ve CVSS 9.3 puanına sahip kritik bir bellek dışı okuma (memory overread) güvenlik açığıdır. Açık, SAML ve WS Federation kimlik doğrulama isteklerindeki hatalı giriş doğrulaması nedeniyle ortaya çıkar ve saldırganların tek bir HTTP isteğiyle bellekte...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is CVE-2026-8451, a newly disclosed memory-disclosure vulnerability in Citrix NetScaler appl. Article summary: **Correction:** The CVE you asked about — **CVE-2026-8451** — does not appear in any current security advisory or disclosure. The vulnerability being actively discussed under the "CitrixBleed 3" name is **CVE-2026-3055**. Topic tags: general, government, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, ch
Düzeltme: 'CitrixBleed 3' olarak anılan güvenlik açığı CVE-2026-3055'tir. (CVE-2026-4368 ile birlikte) .
CVE-2026-3055, Citrix NetScaler ADC ve NetScaler Gateway cihazlarını etkileyen, CVSS 9.3 puanına sahip 'kritik' seviyede bir bellek okuma (memory overread) güvenlik açığıdır . Açık, kimlik doğrulaması yapılmamış saldırganların cihaz belleğinden oturum jetonları ve kimlik bilgileri gibi hassas verileri sızdırmasına olanak tanır. Citrix, 23 Mart 2026'da CTX696300 kodlu güvenlik bülteniyle açığı kamuoyuna duyurmuştur
. Bu, CVE-2023-4966 ("CitrixBleed") ve CVE-2025-5777 ("CitrixBleed 2")'den sonra serinin üçüncü büyük açığıdır
.
Güvenlik açığı, yetersiz girdi doğrulaması nedeniyle ortaya çıkan bir dış bellek okuma. NetScaler cihazı, SAML ve WS-Federation kimlik doğrulama isteklerindeki belirli parametreleri doğrularken beklenen sınırların dışına çıkarak bellekte okuma yapar.
Saldırgan, aşağıdaki şekilde hatalı biçimlendirilmiş bir HTTP isteği göndererek açığı tetikleyebilir :
/saml/login yoluna, AssertionConsumerServiceURL alanı olmadan istek göndermek/wsfed/passive?wctx yoluna, wctx değeri boş olacak şekilde istek göndermekBu hatalı istekler cihazın bellek sınırlarının dışına taşmasına neden olur ve cihaz, HTTP yanıtı içinde bellekteki veri parçalarını döndürür.
Güvenlik araştırmacıları, açığın istismarının "son derece basit" olduğunu belirtmektedir. Tek bir HTTP GET veya POST isteği yeterlidir . İstismar için herhangi bir özel araç, kimlik doğrulama bilgisi veya kullanıcı etkileşimi gerekmez
. Bu durum, açığı oldukça geniş bir saldırgan kitlesi için cazip hale getirmektedir.
Açık başarıyla kullanıldığında aşağıdaki hassas bilgiler sızdırılabilir :
Sızdırılan veriler, NSC_TASS yanıtının içinde base64 formatında kodlanmış olarak görünür .
Saldırganlar, keşif ve istismar faaliyetlerini gizlemek için binlerce farklı konut proxy IP adresini kullanmaktadır. Bu durum, kaynak IP adresini engellemeye dayalı savunma yöntemlerini etkisiz kılmaktadır .
watchTowr, 27 Mart'ta itibaren istismar faaliyetlerine başlayan belirli tehdit aktörü gruplarına ait kaynak IP adreslerini raporlamıştır .
GreyNoise ve diğer tehdit istihbaratı platformları, açığın duyurulmasından sonraki günlerde hassas uç noktaları (/saml/login, /wsfed/passive) hedef alan otomatik taramaları tespit etmiştir .
Saldırganlar, bellekteki aktif oturum jetonlarını çalarak meşru bir kullanıcının kimliğine bürünebilir. Bu yöntem, çok faktörlü kimlik doğrulamayı (MFA) tamamen etkisiz hale getirir .
LDAP bağlantı kimlik bilgileri ve SAML imzalama anahtarları gibi hassas veriler çalınarak, saldırganlara ağ içinde yanal hareket ve kalıcı erişim imkânı sağlanabilir .
Açık, kimlik sağlayıcısı (IdP) yolu üzerindeki sırları sızdırdığı için, saldırı sonrasında bu yoldaki tüm sırların (şifreler, anahtarlar) döndürülmesi (rotasyon) zorunludur .
Gateway veya AAA sanal sunucusu (İnternet'e açık kimlik sağlayıcısı) olarak yapılandırılmış tüm NetScaler ADC ve NetScaler Gateway örnekleri bu açıktan etkilenir .
Citrix'in 23 Mart 2026'da yayımladığı güvenlik bülteni (CTX696300) kapsamındaki düzeltilmiş sürümlere güncelleme yapılmalıdır :
Yama uygulandıktan sonra, mevcut tüm NSC_AAAC, NSC_TMAS ve NSC_TASS çerezleri geçersiz kılınmalı ve tüm kullanıcılar yeniden kimlik doğrulamaya zorlanmalıdır .
LDAP bağlantı kimlik bilgileri, SAML imzalama anahtarları, servis hesabı parolaları ve açıklığın olduğu dönemde cihaz belleğinde bulunmuş olabilecek diğer tüm sırlar değiştirilmelidir .
Aşağıdaki anormal durumlar izlenmelidir :
/saml/login ve /wsfed/passive uç noktalarına yapılan şüpheli isteklerNetScaler cihazları, mümkün olduğunca iç ağdan izole edilmeli ve cihazın dış dünyaya yaptığı çıkış bağlantıları sınırlandırılmalıdır .
Yama hemen uygulanamıyorsa, SAML ve WS-Federation uç noktaları geçici olarak devre dışı bırakılabilir veya WAF/ters proxy kuralları ile erişim kısıtlanabilir. Ancak, tek kalıcı çözümün yama uygulamak olduğu unutulmamalıdır .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
CVE 2026 3055, Citrix NetScaler ADC ve Gateway cihazlarında bulunan ve CVSS 9.3 puanına sahip kritik bir bellek dışı okuma (memory overread) güvenlik açığıdır.
CVE 2026 3055, Citrix NetScaler ADC ve Gateway cihazlarında bulunan ve CVSS 9.3 puanına sahip kritik bir bellek dışı okuma (memory overread) güvenlik açığıdır. Açık, SAML ve WS Federation kimlik doğrulama isteklerindeki hatalı giriş doğrulaması nedeniyle ortaya çıkar ve saldırganların tek bir HTTP isteğiyle bellekteki hassas verilere erişmesine olanak tanır.
İstismar edildiğinde NSC AAAC, NSC TMAS ve NSC TASS oturum çerezleri, LDAP bağlantı kimlik bilgileri ve SAML imzalama anahtarları gibi kritik veriler sızdırılabilir.