文章总结： CVE-2026-3055是CitrixNetScalerADC/Gateway中存在的一个CVSS评分为9.3的内存过度读取漏洞，攻击者可利用此漏洞泄露敏感信息。目前已有针对/cgi/getauthmethods和/saml/login等端点的主动侦察与利用活动，攻击者通过构造特定SAMLRequest触发设备通过nsc_tasscookie泄露内存内容。该漏洞影响多个特定版本，建议受影响组织立即停止使用并打补丁。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,应急响应,网络安全

Citrix NetScaler 正在积极排查 CVE-2026-3055 (CVSS 9.3) 内存过度读取漏洞

TtTeam

2026年4月10日 13:28 中国香港

该漏洞CVE-2026-3055（CVSS 评分：9.3）指的是输入验证不足导致内存过度读取的情况，攻击者可以利用此漏洞泄露潜在的敏感信息。

“我们目前观察到针对 NetScaler ADC/Gateway 的身份验证方法指纹识别活动，”Defused Cyber 在 X 上发帖称。“攻击者正在探测 /cgi/GetAuthMethods，以枚举我们 Citrix 蜜罐中已启用的身份验证流程。”

这很可能是威胁行为者试图确定 NetScaler ADC 和 NetScaler Gateway 是否确实配置为 SAML IDP 的一种尝试。

watchTowr 也发出了类似的警告，称其蜜罐网络中已检测到针对 NetScaler 实例的主动侦察，这意味着随时可能发生实际攻击。

该公司表示：“运行受影响的 Citrix NetScaler 版本且配置也受影响的组织需要立即停止使用该工具并打补丁。一旦攻击者的侦察工作转向主动攻击，应对漏洞的窗口期将不复存在。”

该漏洞影响 NetScaler ADC 和 NetScaler Gateway 版本 14.1-60.58 之前的版本、14.1 版本 14.1-66.59 之前的版本以及 13.1 版本 13.1-62.23 之前的版本，以及 NetScaler ADC 13.1-FIPS 和 13.1-NDcPP 版本 13.1-37.262 之前的版本。

该漏洞已被攻击者积极利用，Defused Cyber 指出，“攻击者向 /saml/login 发送精心构造的 SAMLRequest 有效载荷，省略 AssertionConsumerServiceURL 字段，从而触发设备通过 NSC_TASS cookie 泄露内存内容。” 据 watchTowr 称，截至 2026 年 3 月 27 日，利用该漏洞的攻击均来自已知的攻击者 IP 地址。

watchTowr 上周发布的一份分析报告指出，该漏洞可被利用，在向“/saml/login”端点发送请求时，通过 NSC_TASS 函数返回内存中先前请求遗留的敏感数据。当向已打补丁的实例发送相同的请求时，响应为：“解析提供的断言失败；请联系您的管理员。”

进一步调查显示，CVE-2026-3055 指的并非单一的内存读取漏洞，而是影响以下端点的多个不同漏洞 –

/saml/login/wsfed/passive?wctx

要利用此漏洞，HTTP 请求中需要存在一个名为“wctx”的查询字符串参数，但该参数没有任何值，并且缺少“=””符号。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《Citrix NetScaler 正在积极排查 CVE-2026-3055 (CVSS 9.3) 内存过度读取漏洞》