查看: 99|回复: 0

CVE-2026-8451 NetScaler SAML IDP越界读漏洞已遭在野利用,尽快打补丁

[复制链接]
发表于 1 小时前 | 显示全部楼层 |阅读模式
Citrix NetScaler ADC和NetScaler Gateway近日曝出高危漏洞CVE-2026-8451(CVSS 8.8),被指为类似“CitrixBleed”的越界读取问题。该漏洞影响配置为SAML身份提供者(IDP)的NetScaler设备,攻击者可在无需认证的情况下,通过特制请求触发XML解析器越界读取,进而从HTTP响应中的NSC_TASS cookie获取任意内存内容。

Citrix于6月30日发布补丁,watchTowr同时公开了技术细节及检测工具。然而漏洞公开不到24小时,攻击者便开始利用PoC进行扫描利用。安全公司Lupovis报告称,首个恶意扫描来自德国法兰克福的IP,投放的payload为一个空白<samlp:AuthnRequest>标签,后填充476个空格并跟一个换行符,与watchTowr发布的内容一致。随后第二个攻击者从香港Koapu Cloud的IP对暴露的NetScaler实例进行类似探测。

检测方面,建议立即检查是否存在对/saml/login路径的访问流量,并审查NSC_TASS cookie值是否异常。缓解措施:第一时间安装Citrix提供的安全更新;若无法立即打补丁,可暂时禁用SAML IDP功能以降低风险。

payload示例(仅用于检测识别):
  1. <samlp:AuthnRequest>(后接476个空格和一个换行符)
复制代码
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-3 02:51 , Processed in 0.035447 second(s), 18 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部