文章总结： CitrixNetScalerADC与Gateway的关键内存越界读取漏洞CVE-2026-3055（CVSS9.3）正遭攻击者主动探测，该漏洞在设备配置为SAML身份提供者时允许未经身份验证的攻击者泄露敏感数据。目前虽无在野利用或公开PoC，但探测活动表明利用可能性迫在眉睫。专家建议运行受影响配置的组织立即修补，避免类似CitrixBleed事件的严重影响。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,应急响应,解决方案

紧急警报：NetScaler 漏洞 CVE-2026-3055 遭攻击者探测，或导致敏感数据泄露

鹏鹏同学 鹏鹏同学

黑猫安全

2026年4月1日 09:20 湖北

一项被追踪为 CVE-2026-3055（CVSS 评分为 9.3）的 Citrix NetScaler ADC 和 Gateway 关键漏洞，已遭到攻击者的积极探测。

本周，Citrix 发布了针对两个 NetScaler 漏洞的安全更新，其中包括这个严重的内存越界读取漏洞 CVE-2026-3055（CVSS 评分 9.3），该漏洞允许未经身份验证的攻击者泄露敏感数据。

该漏洞 CVE-2026-3055 是由于输入验证不足导致的内存越界读取问题，仅在 Citrix ADC 或 Citrix Gateway 被配置为 SAML 身份提供者（SAML IDP） 时才会被触发。

客户可通过查找以下配置字符串来检查其 NetScaler 设备是否被设置为 SAML IDP： add authentication samlIdPProfile .*

Rapid7 研究人员发布的公告指出：“该漏洞 CVE-2026-3055 被归类为越界读取漏洞，CVSS 评分为 9.3，允许未经身份验证的远程攻击者从设备内存中泄露潜在的敏感信息。Citrix 的公告称，配置为 SAML 身份提供者（SAML IDP）的系统存在漏洞，而默认配置则不受影响。对于使用单点登录的组织来说，这种 SAML IDP 配置很可能是一种非常常见的配置。”

目前，CVE-2026-3055 尚未发现已知的在野利用或公开的概念验证代码。Citrix 是在内部发现该漏洞的，但一旦利用代码公开，攻击很可能会随之而来。客户应立即修补，因为类似的内存泄露漏洞（如 2023 年被广泛利用的“CitrixBleed”，即 CVE-2023-4966）曾造成严重影响。

watchTowr Intel 研究人员通过其蜜罐网络检测到，针对 NetScaler 实例的 CVE-2026-3055 漏洞的主动探测活动。专家警告称，该漏洞在野被利用的可能性已迫在眉睫。

使用受影响 Citrix NetScaler 版本的组织应立即进行修补，因为持续的探测活动可能很快转变为主动攻击，届时将几乎没有响应时间。

该网络安全公司在领英上写道：“watchTowr Intel 通过我们的 Attacker Eye 蜜罐网络检测到，针对 NetScaler 实例的 CVE-2026-3055 漏洞存在主动探测活动。我们认为，该漏洞在野被利用的可能性已迫在眉睫。运行受影响配置的受影响 Citrix NetScaler 版本的组织需要立即放下手头工作，进行修补。当攻击者的探测活动转变为主动利用时，响应窗口将瞬间消失。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《紧急警报：NetScaler 漏洞 CVE-2026-3055 遭攻击者探测，或导致敏感数据泄露》