文章总结： 思科披露安全工作负载平台存在CVE-2026-20223漏洞（CVSS10.0），因RESTAPI端点缺少身份验证，攻击者可获取站点管理员权限，完全控制环境。影响所有SaaS及本地部署版本，需立即升级至修复版本（3.10.8.3/4.0.3.17）。建议监控API日志、限制端点暴露并审核配置变更。 综合评分： 89 文章分类： 漏洞分析,漏洞预警,解决方案,云安全,威胁情报

Cisco 安全工作负载中的关键漏洞威胁企业 API 安全

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月21日 19:29 北京

在小说阅读器读本章

去阅读

思科披露了其安全工作负载平台中的一个严重安全漏洞，该漏洞可能允许未经身份验证的攻击者获得对敏感企业环境的高级管理访问权限。

该漏洞编号为 CVE-2026-20223，最高 CVSS 评分为 10.0，属于 CWE-306（关键功能缺少身份验证）类别。

根据思科的建议（cisco-sa-csw-pnbsa-g8WEnuy），该问题源于内部 REST API 端点中不正确的身份验证和验证。

Cisco 安全工作负载漏洞概述

攻击者可以通过向易受攻击的端点发送特制的 API 请求来利用此漏洞，从而可能获得相当于站点管理员的权限，并完全控制受影响的环境。

成功利用漏洞可能使攻击者能够访问租户环境中的敏感数据，修改配置和安全策略，在工作负载和集群之间横向移动，并有可能扰乱运营或部署恶意更改。

一个关键问题是跨租户影响，攻击者可能会在多租户部署中访问超出其预期范围的资源。

受影响产品

该漏洞会影响 Cisco 安全工作负载集群软件，无论其采用 SaaS 还是本地部署，也无论采用何种配置。思科已确认该问题仅限于内部 REST API，不会影响基于 Web 的管理界面。

虽然思科已经为 SaaS 环境打上了补丁，无需用户操作，但本地部署的环境在更新到修复版本之前仍然存在安全漏洞。

思科已发布补丁，强烈建议立即升级。3.9 及更早版本需要迁移到已修复的版本；3.10 版本已在 3.10.8.3 中修复，4.0 版本已在 4.0.3.17 中修复。使用 SaaS 部署的客户已收到自动修复。

思科确认，对于此漏洞没有可用的变通方法或临时缓解措施，打补丁是唯一有效的补救措施。

截至 2026 年 5 月 20 日，思科安全安全事件响应小组 (PSIRT) 报告称，未发现任何正在被利用或漏洞代码公开的证据。然而，由于其严重性极高且缺乏身份验证要求，因此存在被迅速利用的高风险。

组织应立即升级到修复后的软件版本，审核 API 访问日志中的可疑活动，将 API 端点暴露限制在受信任的网络中，并监控工作负载中未经授权的配置更改。

攻击者扫描安全工作负载部署中暴露的 API 端点，并向存在漏洞的 REST API 发送精心构造的请求。由于缺少身份验证检查，攻击者获得了站点管理员权限，提取了敏感数据，并篡改了安全配置，这可能导致进一步的攻击。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Cisco 安全工作负载中的关键漏洞威胁企业 API 安全》