Cisco 近期發布了針對 Secure Workload 的安全性更新,用以修復一個編號為 CVE-2026-20223 的極高風險漏洞。該漏洞的 CVSS 分數高達 10.0 分,代表其在影響範圍、攻擊難易度以及造成的損害程度上都達到了最高等級。對於負責維運網路安全設備的工程師來說,這是一個必須優先處理的更新項目。
漏洞的核心成因與影響
這次漏洞的主要問題出在 REST API 的驗證機制不足。REST API 是現代軟體中最常見的對外溝通介面,允許不同的系統透過 HTTP 請求來交換資料或執行指令。在正常的設計中,API 必須在處理請求前,先驗證請求者的身份(Authentication)並確認其是否有權限操作該資源(Authorization)。
然而,Secure Workload 的部分 API 端點在驗證邏輯上存在缺陷。這意味著一名遠端攻擊者即使沒有任何帳號密碼,只要能發送精心構造的 API 請求,就能繞過身分檢查,直接與系統後端溝通。
最嚴重的影響在於權限提升與跨租戶存取。攻擊者在利用此漏洞後,將獲得 Site Admin(站點管理員)的最高權限。在多租戶(Multi-tenancy)環境中,不同客戶或部門的資料應該被嚴格隔離,但此漏洞允許攻擊者突破租戶邊界,讀取敏感資訊甚至修改全域配置。
實務上的風險分析
對於 Junior 工程師來說,需要理解為什麼這個漏洞被評為 10 分。首先,它不需要身分驗證(Unauthenticated),這意味著攻擊門檻極低。其次,它能造成完全的機密性洩漏與完整性破壞,因為攻擊者拿到了管理員權限。
此漏洞影響範圍極廣,無論是部署在 SaaS(軟體即服務)雲端環境,還是 On-prem(地端部署)的集群軟體均受影響,且與設備的具體配置無關。由於 Cisco 明確表示目前沒有任何臨時緩解措施(Workarounds),唯一的解決方案就是立即升級到修復版本。
修復建議與版本對照
請檢查目前的 Cisco Secure Workload 版本並對照以下修復路徑:
若使用 3.9 或更早版本,必須遷移至已修復的後續版本。 若使用 3.10 版本,請更新至 3.10.8.3 或更高版本。 若使用 4.0 版本,請更新至 4.0.3.17 或更高版本。
雖然 Cisco 表示此漏洞是在內部測試中發現,目前尚未有被外部利用的證據,但考量到近期 Cisco Catalyst SD-WAN Controller 剛發生過類似的認證繞過漏洞(CVE-2026-20182)且已被駭客利用,建議採取最保守的態度,儘速完成更新。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。