修正: 目前冇任何安全公告指出存在 CVE-2026-8451 呢個漏洞。坊間所講嘅「CitrixBleed 3」漏洞其實係 CVE-2026-3055(連同 CVE-2026-4368)。本文會集中講 CVE-2026-3055。
CVE-2026-3055 係一個 嚴重級(CVSS 9.3)唔使認證嘅記憶體超讀漏洞,影響 Citrix NetScaler ADC 同 NetScaler Gateway 。黑客可以 remote 洩漏設備記憶體入面嘅敏感資料,包括活躍嘅 session token 同登入憑證。Citrix 喺 2026 年 3 月 23 日透過公告 CTX696300 公開咗呢個漏洞
。呢個係繼 CVE-2023-4966(「CitrixBleed」)同 CVE-2025-5777(「CitrixBleed 2」)之後,呢個系列嘅第三個漏洞
。
輸入驗證不足,導致越界讀取記憶體(CWE-125)。部設備冇正確驗證 SAML 同 WS-Federation 認證請求入面嘅特定參數。
AssertionConsumerServiceURL 欄位嘅錯誤 HTTP 請求去 /saml/loginwctx 值係空嘅錯誤請求去 /wsfed/passive?wctx 呢啲錯誤請求會觸發超讀,然後部設備就會喺 HTTP 回覆入面回傳記憶體內容 。
專家形容係「簡單到離譜」——用一個唔使認證嘅 HTTP GET 或者 POST 請求就得 。唔使特殊工具、唔使登入、亦都唔使用家互動
。
洩漏嘅資料會以 base64 編碼嘅形式出現喺 NSC_TASS 回覆入面 。
攻擊者用咗成千上萬個住宅代理 IP 嚟做偵察同利用,令到靠 IP 封鎖嘅做法失效 。
watchTowr 報告咗特定嘅源 IP 地址,呢啲 IP 同已知黑客組織有關,喺 3 月 27 日就開始利用漏洞 。
GreyNoise 同其他威脅情報平台喺漏洞公開後幾日內,就檢測到針對 /saml/login 同 /wsfed/passive 呢啲脆弱端點嘅大規模掃描 。
黑客可以從記憶體偷走活躍嘅 session token,然後用嚟冒充任何活躍嘅用戶登入,完全繞過多重因素認證(MFA)。
記憶體入面嘅 LDAP 綁定憑證同 SAML 簽署金鑰都可以俾人偷走,令黑客可以橫向移動同持續控制 。
因為呢個漏洞係從身份提供者(IdP)路徑洩漏資料,所以事後需要輪換所有經過呢條路徑嘅 secret 。
所有設定為 Gateway 或者 AAA 虛擬伺服器(即互聯網面向嘅身份提供者角色)嘅 NetScaler ADC 同 NetScaler Gateway 實例都會受影響 。
根據 Citrix 公告 CTX696300,安裝 2026 年 3 月 23 日推出嘅修補版本:
打完 patch 之後,要令所有現有嘅 NSC_AAAC、NSC_TMAS 同 NSC_TASS cookie 失效,然後強制所有用戶重新登入 。
包括 LDAP 綁定憑證、SAML 簽署金鑰、服務帳戶密碼,同任何曾經喺洩露期間出現喺設備記憶體入面嘅 secret 。
監控以下情況:
盡可能將 NetScaler 設備同內部網絡隔離,同埋限制設備嘅對外連線 。
如果延遲修補,可以停用 Gateway 上嘅 SAML 同 WS-Federation 端點,或者透過 WAF / 反向代理規則限制存取。不過要注意,只有打 patch 先係完全解決問題嘅方法 。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
CVE 2026 3055 係 CVSS 9.3 嘅嚴重級漏洞,影響 Citrix NetScaler ADC 同 Gateway,唔使認證就可以 remote 洩漏記憶體入面嘅 session token 同密碼。
CVE 2026 3055 係 CVSS 9.3 嘅嚴重級漏洞,影響 Citrix NetScaler ADC 同 Gateway,唔使認證就可以 remote 洩漏記憶體入面嘅 session token 同密碼。 漏洞根源係 SAML 同 WS Federation 認證請求嘅輸入驗證不足,黑客只要傳送一個精心構造嘅 HTTP 請求就得,攻擊門檻極低。
Citrix 喺 2026 年 3 月 23 日出咗修補程式,但 4 日後已經有黑客開始大規模掃描同利用,CISA 亦都將佢加入咗已知被利用漏洞目錄。
| 2026-04–05 月 | 出現大規模掃描;PoC 同利用程式廣泛流傳 |
| 2026 年 6 月初 | 大規模利用行動進入新一波,針對未修補嘅設備進行大規模攻擊 |