發布編號:OIS-CTI-2026-05-004
情資來源:iThome
事件類型:漏洞警訊公告
內容說明:
Cisco Secure Workload 出現 CVSS 滿分 10.0 重大漏洞,未驗證遠端攻擊者可能透過 API 取得 Site Admin 角色權限,跨租戶讀取敏感資訊或變更設定。
圖片來源:iThome
思科本週釋出安全更新,修補雲端零信任安全產品 Secure Workload 一個風險值 10.0、允許駭客以管理員權限透過 API 存取網站資源的重大漏洞。
思科修補的漏洞編號為 CVE-2026-20223 影響思科雲端工作負載防護暨零信任微分段
(microsegmentation)平臺 Secure Workload(原名 Tetration ),位於該產品的 REST API,原因出在它對外部存取請求的驗證不足。
遠端攻擊者傳送對 API 端點發送變造的存取請求就能濫用本漏洞。成功濫用 CVE-2026-20223 的攻擊者將可以 Site Admin 的管理員權限,跨租戶讀取敏感資訊或變更配置。這項漏洞 CVSS 風險值達到最高分的 10.0。
CVE-2026-20223 影響思科 Secure Workload 叢集軟體,包括 3.9 及以前版本、3.10 及 4.0 版,涵括 SaaS 及本地部署環境。不過思科強調,漏洞僅存在產品內部的 REST API,不影響 Web 化管理介面。
思科已釋出最新版軟體解決漏洞。由於漏洞沒有緩解方法,思科呼籲用戶儘速安裝最新版本,包括 Secure Workload 3.10.8.3 及 4.0.3.17。3.9 以前版本已經 EoL(end of lifecycle),思科也呼籲用戶升級到支援版本。
CVE-2026-20223 是思科內部安全測試中發現,目前該公司產品安全事件回應小組(PSIRT)未發現有漏洞公開或被惡意濫用的情形。
影響平台:
受此漏洞影響的版本包含:
3.9 及以前版本、3.10 及 4.0 版,涵括 SaaS 及本地部署環境
建議措施:
由於漏洞沒有緩解方法,思科呼籲用戶儘速安裝最新版本。
包括 Secure Workload 3.10.8.3 及 4.0.3.17。3.9 以前版本已經 EoL(end of lifecycle),思科也呼籲用戶升級到支援版本。
3.9 及更早版本遷移到固定版本
3.10 及更早版本升級至 3.10.8.3 或更新版本
4.0 及更早版本升級至 4.0.3.17 或更新版本
參考連結 :