The Sequels Are Never As Good, But Were Still In Pain (Citrix NetScaler CVE-2026-3055 Memory Overread)

1 minute de lecture

Mis à jour : March 29, 2026

Analyse de la vulnérabilité de fuite mémoire sur Citrix NetScaler

Une nouvelle vulnérabilité de type « memory overread » a été identifiée au sein des appliances Citrix NetScaler, soulignant une gestion de la mémoire persistante et fragile dans les composants écrits en langage C.

Points clés

Nature du problème : Une validation d’entrée insuffisante lors du traitement du protocole SAML (via un parseur XML propriétaire en C) permet la fuite de segments de mémoire non alloués ou résiduels vers l’utilisateur final.
Conditions d’exploitation : La vulnérabilité est limitée aux appliances configurées spécifiquement comme fournisseurs d’identité SAML (SAML IdP).
Comportement : L’attaque manipule les requêtes SAML pour forcer le système à inclure des fragments de mémoire système dans le cookie NSC_TASS renvoyé lors de la réponse HTTP. Bien que l’exploitation en laboratoire soit aléatoire, elle pourrait être nettement plus efficace et prévisible dans des environnements de production à fort trafic.
Indicateurs d’attaque : La présence de données binaires anormales dans le cookie NSC_TASS et des erreurs spécifiques dans les fichiers de logs (/var/log/ns.log) constituent des signaux d’alerte.

Vulnérabilité identifiée

CVE-2026-3055 : Score CVSS 9.3. Il s’agit d’une lecture hors limites (memory overread) survenue lors du parsing de requêtes SAML mal formées.

Recommandations

Mise à jour immédiate : Appliquer les correctifs fournis par Citrix. Les versions sécurisées incluent :
- NetScaler ADC/Gateway 14.1-60.58 et versions ultérieures (14.1-66.59+).
- NetScaler ADC/Gateway 13.1-62.23 et versions ultérieures.
- NetScaler ADC 13.1-FIPS/NDcPP 13.1.37.262 et versions ultérieures.
Audit de configuration : Réduire la surface d’attaque en évitant d’utiliser les appliances NetScaler comme fournisseurs d’identité SAML, une fonction pour laquelle ces dispositifs ne sont pas optimalement conçus.
Surveillance : Surveiller activement les logs système à la recherche d’erreurs de parsing XML et analyser les cookies NSC_TASS pour détecter toute anomalie de contenu.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

The Sequels Are Never As Good, But Were Still In Pain (Citrix NetScaler CVE-2026-3055 Memory Overread)

Analyse de la vulnérabilité de fuite mémoire sur Citrix NetScaler

Points clés

Vulnérabilité identifiée

Recommandations

Partager sur

Vous pourriez aimer

File read flaw in Smart Slider plugin impacts 500K WordPress sites

Vulnérabilité critique de lecture de fichiers dans Smart Slider 3

AI Threat Landscape Digest January-February 2026

Évolution de la menace cyber par l’IA (Janvier-Février 2026)

TeamPCP Supply Chain Campaign: Update 003 - Operational Tempo Shift as Campaign Enters Monetization Phase With No New Compromises in 48 Hours, (Sat, Mar 28th)

Évolution de la campagne TeamPCP : Transition vers la monétisation

TA446 Deploys DarkSword iOS Exploit Kit in Targeted Spear-Phishing Campaign

Offensive cyber-espionnage via le kit d’exploitation iOS DarkSword