一、Citrix NetScaler ADC和NetScaler Gateway越界读取漏洞(CVE-2026-3055)

1.漏洞分析

a)组件介绍

Citrix NetScaler ADC 是企业级应用交付平台，集负载均衡、SSL 卸载、WAF、流量可视化与全球服务器负载均衡于一体；Citrix NetScaler Gateway是美国思杰系统公司的一套安全的远程接入解决方案。该方案可为管理员提供应用级和数据级管控功能，以实现用户从任何地点远程访问应用和数据‌。

b)漏洞描述

2026年3月30日，深瞳漏洞实验室监测到一则Citrix NetScaler Gateway/ADC组件存在越界读取漏洞的信息，漏洞编号：CVE-2026-3055，漏洞威胁等级：高危。

NetScaler ADC 和 NetScaler Gateway 存在越界读取漏洞，Citrix NetScaler ADC 和 Gateway 设备被配置为 SAML 身份提供商时，其身份验证组件在处理特定 SAML 请求时未能对输入数据进行充分的边界检查。这种验证不足导致了内存越界读取漏洞，使得攻击者无需任何身份认证，即可通过发送特制的恶意请求触发程序读取预期缓冲区之外的内存数据。

2.影响范围

目前受影响的Citrix NetScaler Gateway/ADC版本：

NetScaler Gateway/ADC 14.1 < 14.1-60.58

NetScaler Gateway/ADC 13.1 < 13.1-62.23

NetScaler ADC FIPS/NDcPP 13.1 < 13.1-37.262

3.解决方案

1)官方修复建议

官方已发布最新版本修复该漏洞，建议受影响用户更新到最新版本。

参考链接：

https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX696300

2)临时修复建议

关闭未使用的功能模块，减少潜在攻击入口。

遵循最小权限原则，严控各类敏感操作权限范围。

非必要不暴露服务到公网，限制访问源为可信范围。

定期更新系统及各类组件至安全版本，及时修补已知隐患。

二、Google Chrome Dawn 释放后重用漏洞 CVE-2026-5281)

1.漏洞分析

1)组件介绍

Google Chrome是一款由Google公司开发的网页浏览器，该浏览器基于其他开源软件撰写，包括WebKit，目标是提升稳定性、速度和安全性，并创造出简单且有效率的使用者界面。

2)漏洞描述

2026年4月2日，深瞳漏洞实验室监测到一则谷歌-Chrome组件存在释放重引用漏洞的信息，漏洞编号：CVE-2026-5281，漏洞威胁等级：高危。

Google Chrome Dawn 存在释放后重用漏洞，由于在图形资源生命周期管理过程中，相关内存已被释放后程序仍未正确清空引用，继续对该已释放内存进行非法访问与操作，攻击者可通过构造恶意网页触发该漏洞，结合漏洞链利用后实现浏览器沙箱绕过并在目标设备上远程执行任意代码。目前该漏洞已发现在野利用。

2.影响范围

目前受影响的谷歌-Chrome版本：

Google Chrome(Windows/Mac) < 146.0.7680.177/178

Google Chrome(Linux) < 146.0.7680.177

3.解决方案

1)官方修复建议

官方已发布最新版本修复该漏洞，建议受影响用户更新到最新版本。

下载链接：https://www.google.cn/chrome/

2)临时修复建议

关闭未使用的功能模块，减少潜在攻击入口。

遵循最小权限原则，严控各类敏感操作权限范围。

非必要不暴露服务到公网，限制访问源为可信范围。

定期更新系统及各类组件至安全版本，及时修补已知隐患。