Cisco 近日針對 Secure Workload 發布更新,修補一項最高嚴重性安全漏洞。該漏洞可能讓未經驗證的遠端攻擊者存取敏感資料。
此漏洞編號為
CVE-2026-20223,CVSS 評分為 10.0。問題起因於存取 REST API 端點時,驗證與身分驗證機制不足。Cisco 表示,
攻擊者若能向受影響端點送出特製 API 請求,即可能利用漏洞;一旦攻擊成功,攻擊者可能讀取敏感資訊,並以 Site Admin user 權限跨租戶邊界進行設定變更。
Cisco 指出,受影響範圍涵蓋 SaaS 與 on-prem 部署的 Cisco Secure Workload Cluster Software,且不受裝置設定影響。Cisco 也表示,目前沒有可因應此漏洞的替代緩解措施。
針對修補版本,Cisco 說明 Secure Workload Release 3.9 及更早版本需遷移至已修補版本;Release 3.10 已於 3.10.8.3 修補;Release 4.0 則於 4.0.3.17 修補。
Cisco 表示,該漏洞是在內部安全測試中發現,目前沒有證據顯示已遭到利用。
此外,Cisco 於一週前也揭露 Catalyst SD-WAN Controller 的另一項最高嚴重性身分驗證繞過漏洞
CVE-2026-20182(CVSS 10.0)已遭名為 UAT-8616 的威脅行為者利用,以取得對 SD-WAN 系統的未授權存取。
本文轉載自 TheHackerNews。