聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
今天,思科发布紧急更新,提醒用户修复位于Secure Workload中的未授权API访问漏洞CVE-2026-20223(CVSS满分10分)。
思科提到,该漏洞(CVE-2026-20223)位于 Secure Workload 内部 REST API 的访问验证中,可导致未经身份认证的远程攻击者以站点管理员权限,访问站点资源。
该漏洞因在访问 REST API 端点时的验证和认证不充分而引发。攻击者可通过向受影响端点发送构造 API 请求的方式利用该漏洞,如利用成功,则可以站点管理员用户的权限读取敏感信息并跨租户边界进行配置更改。
受影响版本
该漏洞影响Secure Workload Cluster Software 任何配置下的SaaS 版本和本地部署。该漏洞仅影响内部 REST API,并不影响基于 web 的管理接口。
思科Secure Workload版本 | 首次已修复版本 |
3.9及更早版本 | 迁移到已修复版本 |
3.10 | 3.10.8.3 |
4.0 | 4.0.3.1.7 |
思科提到,已在 SaaS 版本中修复该漏洞,因此无需任何用户操作。另外,思科表示产品安全事件响应团队仅验证了所发布安全公告中列出的受影响和已修复版本信息。
该漏洞由思科在内部安全测试时发现。思科已发布软件更新修复该漏洞,目前尚无应变措施。思科表示尚未发现该漏洞遭在野利用的迹象。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
思科:注意已遭利用的满分 SD-WAN 新 0day
思科紧急修复高危 ISE 漏洞
思科 IMC 中存在严重的认证绕过漏洞,可用于获取管理员权限
思科修复多个高危 IOS XR 漏洞
思科:注意已遭利用的两个 Catalyst SD-WAN 管理器 0day 漏洞
思科提醒注意满分 Secure FMC 漏洞可用于获取 root 权限
原文链接
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csw-pnbsa-g8WEnuy
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
