Citrix NetScaler再曝内存超读漏洞CVE-2026-3055：已遭在野利用

🔓 Critical 漏洞利用

watchTowr Labs分析发现，Citrix NetScaler的CVE-2026-3055并非单一漏洞，而是至少包含两个内存超读漏洞，影响/saml/login和/wsfed/passive?wctx端点。攻击者可通过发送特制HTTP请求触发内存泄漏，获取敏感数据，且该漏洞已从2025年3月27日起在野外被利用。

来源：watchTowr Labs | 0 | 原文链接

🔍 关键发现

• CVE-2026-3055实际包含至少两个内存超读漏洞，影响/saml/login和/wsfed/passive?wctx端点
• 漏洞利用不需要wctx参数值，仅需参数存在且缺少等号即可触发内存泄漏
• 在野利用已于2025年3月27日被蜜罐网络检测到，来自已知威胁行为者IP

⚔️ 攻击链分析

1. 攻击者向目标Citrix NetScaler发送GET请求到/wsfed/passive?wctx，其中wctx参数无值且无等号 2. 未修补设备错误地检查参数存在性而非数据存在性，访问死内存 3. 服务器在响应中通过NSC_TASS Cookie以base64编码泄漏内存内容

🚩 失陷指标 (IOC)

• GET /wsfed/passive?wctx Host: <任意主机名>
• 响应中NSC_TASS Cookie包含大量base64编码内存数据

🛡️ 缓解建议

• ✅ 立即应用Citrix发布的CVE-2026-3055安全补丁
• ✅ 如果无法立即修补，暂时禁用SAML IdP配置或限制对/wsfed/passive端点的访问

涉及漏洞：["CVE-2026-3055"]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。