Ciscoが、認証されていない攻撃者が機密エンタープライズ環境に対して高レベルの管理者アクセスを取得できる可能性のあるSecure Workloadプラットフォームの重大なセキュリティ脆弱性を公開しました。
CVE-2026-20223として追跡されているこの欠陥は、最大CVSSスコア10.0を持ち、CWE-306(重要な機能に対する認証の欠落)に分類されています。
Ciscoのセキュリティアドバイザリ(cisco-sa-csw-pnbsa-g8WEnuy)によると、この問題は内部REST APIエンドポイントの認証と検証が不適切なことに起因しています。
Cisco Secure Workloadの脆弱性概要
攻撃者は特別に細工されたAPIリクエストを脆弱なエンドポイントに送信することで、この弱点を悪用し、サイト管理者と同等の権限を取得し、影響を受けた環境を完全に制御することが可能です。
悪用に成功した場合、攻撃者はテナント環境全体の機密データにアクセスし、設定とセキュリティポリシーを変更し、ワークロードとクラスタ間を横方向に移動でき、さらに業務を中断したり悪意のある変更をデプロイする可能性があります。
主な懸念事項は、マルチテナントデプロイメントにおいて、攻撃者が意図した範囲を超えてリソースにアクセスする可能性があるクロステナント影響です。
影響を受ける製品
この脆弱性は、SaaSおよびオンプレミスデプロイメント両方でのCisco Secure Workloadクラスタソフトウェアに影響し、設定に関わらず該当します。Ciscoは、この問題は内部REST APIに限定され、Webベースの管理インターフェースには影響しないことを確認しました。
Ciscoはすでにユーザーアクションを必要としないSaaS環境にパッチを適用していますが、オンプレミスデプロイメントは修正版に更新されるまで脆弱なままです。
Ciscoはパッチをリリースし、直ちなアップグレードを強く推奨しています。バージョン3.9以前は修正されたリリースへの移行が必要です。バージョン3.10は3.10.8.3で修正され、バージョン4.0は4.0.3.17で修正されています。SaaSデプロイメントを使用しているお客様は、すでに自動的に対応済みです。
Ciscoは、この脆弱性に対して利用可能な回避策または一時的な軽減策はなく、パッチ適用が唯一の効果的な対応策であることを確認しました。
2026年5月20日時点で、Cisco PSIRTは能動的な悪用やエクスプロイトコードの公開の証拠を報告していません。しかし、その致命的な重大度と認証要件がないため、急速な悪用の高いリスクを呈しています。
組織は直ちに修正されたソフトウェアバージョンにアップグレードし、APIアクセスログで疑わしいアクティビティを監査し、信頼できるネットワークへのAPIエンドポイントの公開を制限し、ワークロード全体の許可されていない設定変更を監視すべきです。
攻撃者はSecure Workloadデプロイメント内の公開されているAPIエンドポイントをスキャンし、脆弱なREST APIに細工されたリクエストを送信します。認証チェックの欠落により、攻撃者はサイト管理者権限を取得し、機密データを抽出し、セキュリティ設定を変更し、さらなる侵害を可能にします。
翻訳元: https://gbhackers.com/critical-vulnerability-in-cisco-secure-workload/
