思科修補Secure Workload滿分API未授權存取漏洞

來源: iThome | 發布: 2026-05-22
URL: https://www.ithome.com.tw/news/176031

漏洞概要

項目詳情
CVE編號CVE-2026-20223
CVSS評分10.0(滿分)
影響產品Cisco Secure Workload(原名 Tetration)
漏洞位置REST API
發布日期2026-05-22

漏洞說明

  • 成因:REST API 對外部存取請求的驗證不足
  • 攻擊方式:遠端攻擊者發送變造的 API 請求即可觸發
  • 影響:攻擊者可獲得 Site Admin 管理員權限,跨租戶讀取敏感資訊或變更配置
  • 注意:漏洞僅存在內部 REST API,不影響 Web 管理介面

受影響版本

  • Secure Workload 3.9 及以前版本(已 EoL)
  • Secure Workload 3.10 版
  • Secure Workload 4.0 版
  • 涵蓋 SaaS 及本地部署環境

修補措施

漏洞沒有緩解方法,思科呼籲用戶儘速安裝最新版本

  • Secure Workload 3.10.8.3
  • Secure Workload 4.0.3.17
  • 3.9 以前版本已 EoL,需升級至支援版本

其他資訊

  • 漏洞由思科內部安全測試發現
  • 思科 PSIRT 尚未發現公開揭露或惡意利用案例

衍生頁面