CISA
美國網路安全與基礎設施安全局(CISA)近日警告,3月下旬揭露的重大漏洞CVE-2026-3055已被實際利用,未修補此弱點的Citrix NetScaler設備風險大增,CISA將其納入已知遭利用漏洞清單(KEV),要求各機構儘速修補。
CVE‑2026‑3055屬於記憶體越界讀取(Out‑of‑Bounds Read)類型弱點,CVSS嚴重性評分達9.3,攻擊者可在特定SAML身分提供者(Identity Provider,IdP)設定下, 繞過驗證、直接讀取記憶體存放的敏感資料。受影響的產品涵蓋應用程式傳遞控制器NetScaler ADC,以及SSL VPN遠端存取設備NetScaler Gateway, 解決辦法是升級系統軟體至Citrix建議的版本。
在CISA將CVE-2026-3055納入KEV清單之前,資安威脅情報公司watchTowr也曾發出警告,表示他們發現有人正在探測存在這項漏洞的NetScaler設備,呼籲使用者儘速套用Citrix提供的更新程式因應。
