Citrix NetScaler再曝内存越界漏洞：SAML IdP配置下的致命伤

🔓 Critical 漏洞利用

Citrix NetScaler ADC/Gateway存在CVE-2026-3055内存越界读取漏洞，攻击者可在设备配置为SAML身份提供者(IdP)时，通过特制SAML请求触发内存泄露，可能导致敏感数据暴露及会话劫持。该漏洞与历史著名的CitrixBleed系列高度相似，凸显Citrix在内存管理上的持续脆弱性。

来源：watchTowr Labs | 0 | 原文链接

🔍 关键发现

• CVE-2026-3055影响未修补的NetScaler ADC/Gateway版本（14.1-26.x之前），CVSS 9.3分，属于严重漏洞
• 漏洞仅在设备配置为SAML IdP时被利用，攻击面相对狭窄但高风险，因为IdP存储大量认证凭据
• watchTowr在复现过程中还发现了与CVE-2026-3055类似前提的额外内存越界漏洞，已报告给Citrix PSIRT

⚔️ 攻击链分析

1. 攻击者识别目标NetScaler设备配置为SAML IdP；2. 向SAML相关端点（如/metadata/samlidp/）发送特制请求；3. 利用C语言编写的XML解析器缺陷触发内存越界读取；4. 从泄露的内存中提取敏感数据（如会话凭证、认证令牌）

🚩 失陷指标 (IOC)

• 异常SAML请求到/metadata/samlidp/端点
• NetScaler日志中出现大量SAML解析错误或内存访问异常记录

🛡️ 缓解建议

• ✅ 立即将NetScaler ADC/Gateway升级至修复版本（14.1-60.58及以上、14.1-66.59及以上、13.1-62.23及以上）
• ✅ 避免将NetScaler配置为SAML IdP，或严格限制SAML IdP功能的使用范围
• ✅ 实施网络分段和访问控制，限制对NetScaler管理接口的访问
• ✅ 监控设备日志和网络流量，检测针对SAML端点的异常请求

涉及漏洞：["CVE-2026-3055"]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。