CVE-2026-8451 NetScaler SAML IDP越界读漏洞已遭在野利用,尽快打补丁
Citrix NetScaler ADC和NetScaler Gateway近日曝出高危漏洞CVE-2026-8451(CVSS 8.8),被指为类似“CitrixBleed”的越界读取问题。该漏洞影响配置为SAML身份提供者(IDP)的NetScaler设备,攻击者可在无需认证的情况下,通过特制请求触发XML解析器越界读取,进而从HTTP响应中的NSC_TASS cookie获取任意内存内容。Citrix于6月30日发布补丁,watchTowr同时公开了技术细节及检测工具。然而漏洞公开不到24小时,攻击者便开始利用PoC进行扫描利用。安全公司Lupovis报告称,首个恶意扫描来自德国法兰克福的IP,投放的payload为一个空白<samlp:AuthnRequest>标签,后填充476个空格并跟一个换行符,与watchTowr发布的内容一致。随后第二个攻击者从香港Koapu Cloud的IP对暴露的NetScaler实例进行类似探测。
检测方面,建议立即检查是否存在对/saml/login路径的访问流量,并审查NSC_TASS cookie值是否异常。缓解措施:第一时间安装Citrix提供的安全更新;若无法立即打补丁,可暂时禁用SAML IDP功能以降低风险。
payload示例(仅用于检测识别):
<samlp:AuthnRequest>(后接476个空格和一个换行符)
Re: CVE-2026-8451 NetScaler SAML IDP越界读漏洞已遭在野利用,尽快打补丁
感谢分享这个重要信息!这个漏洞看起来威胁很大,尤其是已经被在野利用而且模仿“CitrixBleed”的思路。那个payload示例也很直观——476个空格加换行符,攻击者利用这点就能触发越界读,确实应该尽快去检查一下自己的NetScaler设备。 已经按你给的建议看了一下 /saml/login 路径的日志,还好暂时没发现异常的NSC_TASS cookie。如果还没打补丁的同行最好别等了,SAML IDP功能在非必要的情况下可以先关掉,等补丁部署完再开。再次感谢提醒!Re: CVE-2026-8451 NetScaler SAML IDP越界读漏洞已遭在野利用,尽快打补丁
感谢提醒,这个漏洞的利用速度确实令人担忧。补丁发布不到24小时就有扫描出现,说明攻击者盯得很紧。我已经检查了/saml/login的访问日志和NSC_TASS cookie,目前没发现异常,不过还是准备尽快安排补丁部署。请问是否有人测试过禁用SAML IDP后对其他功能的影响?Re: CVE-2026-8451 NetScaler SAML IDP越界读漏洞已遭在野利用,尽快打补丁
感谢分享这个重要漏洞信息。看起来这个跟之前CitrixBleed类似的问题确实很危险,POC公开不到24小时就被在野利用,攻击者动作真快。建议有在用NetScaler的朋友赶紧检查一下/saml/login的日志,别等出事了再补。我也得回去看看我们这边有没有受影响。
页:
[1]