Cisco закрыла критическую уязвимость в Secure Workload с оценкой CVSS 10.0

Cisco выпустила исправления для CVE-2026-20223 — критической уязвимости в Secure Workload, получившей максимальную оценку CVSS 10.0. Ошибка в проверке доступа к внутренним REST API позволяет удалённому неаутентифицированному атакующему получить доступ к ресурсам с правами Site Admin.

Cisco выпустила обновления безопасности для CVE-2026-20223 — критической уязвимости в Cisco Secure Workload. Проблема получила оценку CVSS 10.0 и связана с недостаточной проверкой и аутентификацией при обращении к внутренним REST API.

Атакующий может отправить специально сформированный API-запрос к уязвимому endpoint и получить доступ к ресурсам с привилегиями роли Site Admin. Успешная эксплуатация позволяет читать чувствительную информацию и менять конфигурацию между границами tenants с правами администратора сайта.

Уязвимость затрагивает Cisco Secure Workload Cluster Software в SaaS- и on-premise-развёртываниях независимо от конфигурации устройства. Cisco уточняет, что проблема касается только внутренних REST API и не затрагивает веб-интерфейс управления.

Обходных способов устранения уязвимости нет. Для ветки 3.10 первым исправленным выпуском является 3.10.8.3, для 4.0 — 4.0.3.17; пользователям версий 3.9 и ниже нужно перейти на исправленный релиз. В облачном Cisco Secure Workload SaaS проблема уже устранена, дополнительных действий от пользователей не требуется.

По данным Cisco PSIRT, на момент публикации компания не знала о публичных объявлениях или вредоносной эксплуатации этой уязвимости. Ошибка была обнаружена в ходе внутреннего тестирования безопасности Cisco.