Share
## https://sploitus.com/exploit?id=7F2810D8-1973-5B10-9CFD-7BAAF31FBA3A
# ─── CVE-2026-8451 ───
# 🏴 AMN SECURITY 🏴
### مركز أبحاث الأمن السيبراني | Cyber Security Research Center
---
# ⚠️ ثغرة تسريب الذاكرة في Citrix NetScaler SAML
### CVE-2026-8451 | CVSS 8.8 | عالية الخطورة
---
### 📋 الملخص التنفيذي
ثغرة أمنية في **Citrix NetScaler ADC** و **NetScaler Gateway** عند تكوينهما كمزود هوية SAML (IdP). تسمح الثغرة لمهاجم غير مُصادق بإرسال طلب SAML مُشوّه مما يؤدي إلى قراءة ذاكرة خارج الحدود (Out-of-Bounds Read) وتسريب محتوى الذاكرة الحساسة.
---
### 🔍 تفاصيل الثغرة
| العنصر | التفاصيل |
|--------|----------|
| **CVE** | CVE-2026-8451 |
| **CVSS** | 8.8 (High) |
| **CWE** | CWE-125 (Out-of-bounds Read) |
| **النوع** | Memory Disclosure |
| **الهجوم** | Network |
| **المصادقة** | ❌ غير مطلوبة |
| **المنتج** | NetScaler ADC / Gateway (SAML IdP) |
| **النقطة المتأثرة** | `/saml/login` |
#### الإصدارات المتأثرة
| المنتج | الإصدار المتأثر |
|--------|----------------|
| NetScaler ADC 14.1 | **قبل** 14.1-72.61 |
| NetScaler ADC 13.1 | **قبل** 13.1-63.18 |
| NetScaler ADC FIPS | **قبل** 14.1-72.61 |
| NetScaler Gateway | وضع SAML IdP |
#### الإصدارات المُصحَّحة
| الفرع | الإصدار |
|-------|---------|
| 14.1 | **14.1-72.61** |
| 13.1 | **13.1-63.18** |
| FIPS/NDcPP | الأحدث |
---
### 💥 آلية الهجوم
```
SAML Request (مُشوّه)
│
▼
NetScaler SAML IdP
│
▼
XML Parser ──> Validation غير كافٍ
│
▼
Out-of-Bounds Read ──> تسريب الذاكرة
│
▼
بيانات مكشوفة:
• Session Data
• Auth Tokens
• Process Memory
• Internal Structures
```
---
### 🛡️ الإجراءات العلاجية
1. **ترقية فورية** إلى الإصدارات المُصحَّحة
2. **تعطيل SAML IdP** إذا لم يكن قيد الاستخدام
3. **تقييد الوصول** إلى نقطة `/saml/login`
4. **مراقبة السجلات** للكشف عن محاولات الاستغلال
5. **تفعيل IDS/IPS** للكشف عن الحمولات المشبوهة
---
### 🧪 استخدام الأداة
```bash
# فحص أساسي
python3 CVE-2026-8451.py -t https://netscaler.target.com
# حفظ النتائج
python3 CVE-2026-8451.py -t https://netscaler.target.com -o leaked_data.txt
# وضع تفصيلي
python3 CVE-2026-8451.py -t https://netscaler.target.com -v
# استخدام تقنية محددة
python3 CVE-2026-8451.py -t https://netscaler.target.com --technique depth
# عبر بروكسي
python3 CVE-2026-8451.py -t https://netscaler.target.com --proxy http://127.0.0.1:8080
```
---
### 📚 المراجع
- **NVD**: https://nvd.nist.gov/vuln/detail/CVE-2026-8451
- **Citrix Security Advisory**: https://support.citrix.com/
- **WatchTowr Research**: CitrixBleed Analysis
- **AMN SECURITY Research**: CitrixBleed PoC
---
### 👥 فريق AMN SECURITY
| العضو | التخصص |
|-------|--------|
| **AMN Research Team** | اكتشاف الثغرة وتحليلها |
| **AMN Exploitation Team** | تطوير الإكسبلويت |
| **AMN Defense Team** | الإجراءات العلاجية |
---
---
# ⚠️ Citrix NetScaler SAML Memory Overread (CitrixBleed)
### CVE-2026-8451 | CVSS 8.8 | High Severity
---
### 📋 Executive Summary
A high-severity memory disclosure vulnerability in **Citrix NetScaler ADC** and **NetScaler Gateway** when configured as a SAML Identity Provider (IdP). An unauthenticated attacker can send a crafted malformed SAML AuthnRequest to the `/saml/login` endpoint, triggering an out-of-bounds read that leaks sensitive process memory in the HTTP response.
---
### 🔍 Vulnerability Details
| Property | Value |
|----------|-------|
| **CVE** | CVE-2026-8451 |
| **CVSS** | 8.8 (High) |
| **CWE** | CWE-125 (Out-of-bounds Read) |
| **Attack Vector** | Network |
| **Authentication** | ❌ None required |
| **User Interaction** | ❌ None |
| **Affected Endpoint** | `/saml/login` |
| **Impact** | Memory Disclosure |
#### Affected Versions
| Product | Affected |
|---------|----------|
| NetScaler ADC 14.1 | **Before** 14.1-72.61 |
| NetScaler ADC 13.1 | **Before** 13.1-63.18 |
| NetScaler ADC FIPS | **Before** 14.1-72.61 |
| NetScaler Gateway | SAML IdP mode |
---
### 💥 Attack Flow
```
Crafted SAML Request
│
▼
NetScaler SAML IdP
│
▼
Insufficient XML Validation
│
▼
Out-of-Bounds Read ──> Memory Disclosure
│
▼
Exposed Data:
• Session Data
• Auth Tokens
• Process Memory
• Memory Addresses
```
---
### 🛡️ Remediation
1. **Patch immediately** to fixed versions
2. **Disable SAML IdP** if not in use
3. **Restrict access** to `/saml/login` endpoint
4. **Monitor logs** for exploitation attempts
5. **Deploy IDS/IPS** signatures
---
### 🧪 Usage
```bash
# Basic scan
python3 CVE-2026-8451.py -t https://netscaler.target.com
# Save output
python3 CVE-2026-8451.py -t https://netscaler.target.com -o leaked_data.txt
# Verbose mode
python3 CVE-2026-8451.py -t https://netscaler.target.com -v
# Via proxy
python3 CVE-2026-8451.py -t https://netscaler.target.com --proxy http://127.0.0.1:8080
```
---
### 📚 References
- **NVD**: https://nvd.nist.gov/vuln/detail/CVE-2026-8451
- **Citrix Advisory**: https://support.citrix.com/
- **WatchTowr Labs**: CitrixBleed Analysis
- **AMN SECURITY**: CitrixBleed PoC
---
## Connect with AMN SECURITY — تابعنا
🌐 **Website:** https://amn.amnoffsec.workers.dev/
📸 **Instagram:** https://www.instagram.com/ixctw
📧 **Email:** ayman.mahmoudoffsec@gmail.com
---
### ⚖️ Disclaimer
This tool is provided for **authorised security testing and educational purposes only**. Unauthorised use is illegal. The authors and AMN SECURITY assume no liability for misuse.
---
**🏴 AMN SECURITY** — Enterprise Offensive Security