Ciscoは、Secure Workloadプラットフォームの重大な脆弱性を公開しました。この脆弱性により、認証されていないリモート攻撃者が、保護されていない内部REST APIエンドポイントを通じてサイト管理者レベルのアクセスを獲得できる可能性があります。
CVE-2026-20223として追跡されているこの欠陥は、最大CVSS基本スコア10.0を持ち、Ciscoが公開した最も深刻なセキュリティ問題の一つとなっています。
この脆弱性は、Cisco Secure Workload内の内部REST APIエンドポイントにアクセスする際の検証と認証が不十分であることが原因です。
影響を受けるエンドポイントに細工されたAPIリクエストを送信できる攻撃者は、認証情報なしで脆弱性を悪用し、実質的にすべてのアクセス制御をバイパスできます。
このクロステナント露出は、マルチテナント企業環境で特に懸念されます。そこではワークロード分離がコアセキュリティ要件であるとCiscoが述べました。
CWE-306(重要機能の認証漏れ)に分類されるこの欠陥は、デバイス構成に関係なく、Cisco Secure Workload Cluster SoftwareのSaaSおよびオンプレミス展開の両方に影響を与えます。
Ciscoは、この脆弱性は内部REST APIのみに影響を与え、Webベースの管理インターフェースには影響しないことを明確にしました。
Ciscoは以下の影響を受けるとパッチが適用されたリリースマトリックスを確認しています:
リリース3.9以前を実行している組織は、これらのバージョンにパッチが逆移植されていないため、サポートされている修正リリースに移行する必要があります。SaaS展開の場合、Ciscoは既にクラウドインフラレベルで脆弱性に対処しており、ユーザーアクションは必要ありません。
Ciscoは、この脆弱性に対する回避策が存在しないことを明確に確認しました。修正リリースへのパッチ適用がオンプレミス展開の唯一の対応策です。
これは即座のリスクを制限しますが、重大なCVSS 10.0スコアと認証要件の欠如により、優先度の高いパッチング対象となります。脅威行為者は定期的にCiscoの勧告を監視し、公開直後にエクスプロイトをリバースエンジニアリングします。
セキュリティチームは、以下の即座のステップを取るべきです:
翻訳元: https://cyberpress.org/cisco-secure-workload-flaw/