📋 漏洞概述

Cisco Secure Workload REST API访问验证缺失，未认证远程攻击者可越权获取站点管理员权限，跨租户读取敏感信息并篡改配置。

📋 基础信息

🔬 漏洞根因

Cisco Secure Workload内部REST API端点缺乏有效的身份验证与访问控制校验，具体为：API网关在处理请求时未对请求中的用户令牌或会话标识进行合法性验证；同时，站点管理员的角色权限绑定机制存在缺陷，导致未认证请求可直接通过API端点被赋予Site Admin角色的操作权限。推测根源在于开发者将内部API端点误配置为可信网络接口，并未在代码层面实现强制认证与鉴权拦截器。

🎯 攻击场景

1. 前提条件：攻击者能够访问Cisco Secure Workload管理接口所在的网络（通常为内部网络或VPN可达），无需任何合法凭据。 2. 攻击者通过网络扫描或情报搜集获取Cisco Secure Workload实例的REST API基地址（例如https://<host>/api/）。 3. 攻击者构造特制HTTP/HTTPS请求，例如绕过认证头或使用空令牌，直接调用管理级API端点（如/api/admin/sites/config、/api/admin/users）。 4. 由于端点未执行认证与授权校验，服务器处理该请求并以Site Admin角色的上下文执行操作。 5. 攻击者成功读取跨租户的敏感数据（如安全策略、工作负载元数据）或修改配置（如禁用安全监控），实现信息泄露与权限提升。

💥 漏洞影响

攻击者可以未认证远程方式获得Cisco Secure Workload站点管理员权限，跨租户读取敏感信息（包括安全策略、网络拓扑、工作负载配置等），并修改系统配置（如删除监控规则、添加后门管理员账户），可能导致整个安全监控体系失效、客户数据暴露、后续横向移动。由于CVSS 10.0且无需任何交互，该漏洞影响范围极广，属于灾难性漏洞。

🛡️ 修复建议

1. 升级修复：立即应用Cisco提供的安全补丁（关注Cisco安全公告，预计将发布修复版本如4.10.1或更高）。 2. 临时缓解措施：在无法升级时，通过ACL限制对管理API端点的源IP范围，仅允许受信任的管理跳板机IP访问；在API网关前部署反向代理强制要求客户端证书认证；禁用所有非必要的内部REST API端点，并开启详细审计日志以捕获异常请求。

📎 参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2026-20223
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-20223
• 原始来源（NVD-Latest）

🚨 威胁评估

⚠️ 本文由漏洞情报系统自动生成，仅供安全研究与防御参考。生成时间: 2026-05-22 22:01 | 来源: NVD-Latest