文章总结： 思科Webex于2026年4月15日披露高危漏洞CVE-2026-20184（CVSS9.8分），攻击者可通过SSO证书验证缺陷冒充任意用户窃听企业会议并获取敏感数据。漏洞影响使用TrustAnchors配置的WebexControlHub组织，需立即更新IdPSAML证书并检测异常登录。 综合评分： 85 文章分类： 漏洞分析,威胁情报,应急响应,安全建设,解决方案

思科Webex爆9.8分漏洞：你的会议可能被”老板”窃听

小金星 小金星

船山信安

2026年4月25日 13:34 广东

在小说阅读器读本章

去阅读

思科Webex爆9.8分漏洞：你的会议可能被”老板”窃听

想象一下这个场景：

明天早上9点，你收到”老板”发来的Webex会议邀请。你点击加入，进入了会议室。但屏幕那头的”老板”，可能根本不是他本人。****

这不是科幻，而是刚刚发生在全球无数企业的事实。

2026年4月15日，思科披露了一个致命漏洞——CVE-2026-20184。

CVSS评分：9.8/10。

足够让攻击者冒充任意用户，包括你公司的CEO、CFO，或者任何他想伪装的人。

一通来自安全团队的深夜电话

2026年4月15日，晚上11点。

某跨国公司的安全负责人David接到了一通电话。

电话那头，思科的安全工程师告诉他：你们公司正在使用的Webex SSO认证存在严重漏洞。攻击者只需要知道你的邮箱前缀，就能在网上”变成”你。

挂断电话后，David赶紧打开了Webex Control Hub。

他看到了一条红色的提示：“你的组织受到影响，请重新上传IdP证书”。

他查了查日历——漏洞是4月15日当天发现的，而他们公司有5000名员工，每天有上百场Webex会议。

他决定明天一早就发全员通知。

这不是一个容易开口的话题：谁能保证昨晚没有”假老板”参加过他们的会议？

Webex对企业意味着什么？

在深入漏洞之前，我们先理解它的影响范围：

****“` 📄 代码

Webex在企业中的角色

┌─────────────────────────────────────────────────────────────┐ │                                                         │ │   💼 远程会议    📹 视频面试    📝 文档协作              │ │                                                         │ │   💰 商务谈判    📊 季度汇报    🤝 客户沟通                │ │                                                         │ │   🔐 CEO → CFO → HR → 核心技术    ← 战略机密          │ │                                                         │ └─────────────────────────────────────────────────────────────┘

对于使用Webex的企业来说：

●**会议内容**：战略讨论、商务谈判、人事决策

●**文档共享**：合同、报价单、内部文件

●**用户信任**：登录后默认是"经过认证的自己"

现在，这个信任**被打破了**。

---

## 漏洞真相：一个"证书验证"的失误

### 漏洞概述

| 属性 | 内容 |
| --- | --- |
| **CVE编号** | CVE-2026-20184 |
| **CVSS评分** | 9.8（危急） |
| **漏洞类型** | 证书验证不当（CWE-295） |
| **影响组件** | Cisco Webex Services (SSO with Control Hub) |
| **利用条件** | 无需认证，只需知道目标邮箱前缀 |
| **利用可能性** | 低复杂度，无 race condition |
| **缓解措施** | 无（必须更新证书） |

### SSO的信任模型

理解这个漏洞，需要先理解**单点登录（SSO）**的工作原理：

📄 代码

正常SSO认证流程：

用户 → Webex Control Hub → 身份提供商(IdP)                          ↓                    “这是谁？”                          ↓                    IdP验证证书                          ↓                    “证书有效，身份可信” → 放行

思科的Webex使用SAML协议实现SSO。SAML的安全性建立在**双向证书信任**上：

●Webex信任IdP颁发的证书

●IdP信任Webex的回调

**问题出在哪里？**

CVE-2026-20184的根源是：**Webex在验证IdP证书时，存在验证缺陷**。

📄 xml

function validateToken(token) {     // ❌ 错误：直接接受token，未严格验证证书链     if (token.isValid()) {         return getUserFromToken(token);     } }

攻击者只需要构造一个特殊构造的token，利用证书验证漏洞，就能绕过验证，以任意用户身份登录。

### 攻击演示

📄 代码

正常攻击链：

1. 攻击者扫描企业域名，获取邮箱前缀列表    （如：[email protected] → zhangsan）

2. 构造恶意SAML token    → 声称自己就是zhangsan

3. 访问Webex服务    → Webex未严格验证证书    → 接受token，认为这是”zhangsan”

4. 攻击者以zhangsan身份进入所有会议    → 看到会议内容    → 听到战略讨论    → 获取内部文档

**最可怕的场景**：

📄 代码

CEO出差在外，通过Webex召开紧急会议。 攻击者冒充CEO进入会议室。 所有人以为这是真正的CEO。 会议结束后，没人知道讨论了什么被泄露了。

---

## 为什么是"9.8分"？

9.8分的CVSS评分，意味着什么？

| 评估维度 | 含义 |
| --- | --- |
| AV:N（网络可达） | 不需要接近目标网络 |
| AC:L（低复杂度） | 不需要特殊的攻击条件 |
| PR:N（无需权限） | 不需要任何账户 |
| UI:N（无需交互） | 用户不会察觉 |
| C:H（高机密性影响） | 可访问所有用户数据 |
| I:H（高完整性影响） | 可篡改所有内容 |
| A:H（高可用性影响） | 可导致服务中断 |

综合评估：**一个9.8分的漏洞，比大多数9.0分的漏洞更危险。**

---

## 影响范围：全球企业都在用

### 受影响组织

根据思科公告，受影响的是：

●使用**Webex Control Hub**的SSO配置

●配置了**信任锚点（Trust Anchors）**的组织

### 如何自检？

**步骤1**：登录 Webex Control Hub

**步骤2**：进入 **Organization Settings → SSO**

**步骤3**：检查是否使用了**Trust Anchors**配置

📄 代码

如果你看到类似配置，你可能受影响：

☑ Enable SAML SSO ☑ Use Trust Anchors with your IdP   └─ IdP Entity ID: https://…   └─ Certificate uploaded: …

### 企业自查清单

我的公司使用Webex SSO吗？

我在Webex Control Hub中看到Trust Anchors配置了吗？

最近有异常的会议邀请或登录吗？

会议记录中是否有陌生人？

---

## 修复方案：没有"捷径"

### 思科的声明

思科表示：

> "我们已经修复了云端的漏洞。但对于使用Trust Anchors的SSO集成组织，客户需要采取行动以避免服务中断。"

### 修复步骤

**这是必须完成的工作，没有"先不管"的选项。**

**步骤1**：联系你的IdP供应商，获取最新的SAML证书

**步骤2**：登录Webex Control Hub

**步骤3**：进入 **Organization Settings → SSO → Certificates**

**步骤4**：上传新的IdP SAML证书

**步骤5**：测试SSO登录是否正常

**步骤6**：通知全员，并建议修改密码（作为预防措施）

### 需要帮助？参考思科官方文档

📄 代码

官方文档： https://help.webex.com/article/nl/zh-cn/wbxgg000078 “`

你可能正在被窃听

回到开头的问题。

那个深夜的电话后，David做了一个决定：

他需要告诉全公司：过去这段时间的会议，可能已经不安全了。

这不是一个容易开口的声明。但作为安全负责人，他知道隐瞒只会让事情更糟。

他起草了邮件：

“亲爱的同事们，

我们刚刚收到通知，Webex平台存在一个严重的安全漏洞。攻击者可能已经能够冒充我们的同事参加会议。

我们正在采取行动修复。如果你发现任何异常的会议邀请或登录尝试，请立即报告。”

他按下了发送键。

安全启示

1. SSO不是”银弹”

使用单点登录的企业，往往会有一种”安全错觉”：

“我们用了SSO，很安全。”

但SSO的安全性依赖整个信任链。如果证书验证有任何缺陷，整个系统都会暴露。

2. “无可用缓解措施”意味着什么？

思科在公告中明确说：没有workaround可以缓解这个漏洞。

这不是一个可以”先等等”的问题。必须修复。

3. 检测比预防更重要

如果你是安全负责人，你需要问自己：

●我们有监控SSO登录异常的能力吗？

●我们能发现”冒充登录”吗？

●如果已经发生泄露，我们能知道吗？

写在最后

全球每天有数亿人在Webex上开会。

2026年4月15日之前，其中一些会议的主持人，可能并不是他们声称的那个人。

这听起来很可怕。但更可怕的是：大多数企业可能永远不会知道。

如果你正在使用Webex SSO，请今天就完成证书更新。

这可能不会阻止过去的泄露。但至少可以保护未来的安全。

参考来源：

●Cisco Security Advisory: cisco-sa-webex-cui-cert-8jSZYhWL

●NVD: CVE-2026-20184

（全文完）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：船山信安 小金星 小金星《思科Webex爆9.8分漏洞：你的会议可能被”老板”窃听》