思科修補Secure Workload滿分API未授權存取漏洞
來源: iThome | 發布: 2026-05-22
URL: https://www.ithome.com.tw/news/176031
漏洞概要
| 項目 | 詳情 |
|---|---|
| CVE編號 | CVE-2026-20223 |
| CVSS評分 | 10.0(滿分) |
| 影響產品 | Cisco Secure Workload(原名 Tetration) |
| 漏洞位置 | REST API |
| 發布日期 | 2026-05-22 |
漏洞說明
- 成因:REST API 對外部存取請求的驗證不足
- 攻擊方式:遠端攻擊者發送變造的 API 請求即可觸發
- 影響:攻擊者可獲得 Site Admin 管理員權限,跨租戶讀取敏感資訊或變更配置
- 注意:漏洞僅存在內部 REST API,不影響 Web 管理介面
受影響版本
- Secure Workload 3.9 及以前版本(已 EoL)
- Secure Workload 3.10 版
- Secure Workload 4.0 版
- 涵蓋 SaaS 及本地部署環境
修補措施
漏洞沒有緩解方法,思科呼籲用戶儘速安裝最新版本
- ✅ Secure Workload 3.10.8.3
- ✅ Secure Workload 4.0.3.17
- 3.9 以前版本已 EoL,需升級至支援版本
其他資訊
- 漏洞由思科內部安全測試發現
- 思科 PSIRT 尚未發現公開揭露或惡意利用案例
衍生頁面
- Cisco Secure Workload滿分漏洞CVE-2026-20223 API未授權存取 — 漏洞事件概念頁面
- cisco-secure-workload — 受影響產品