聚焦源代码安全网罗国内外最新资讯编译代码卫士今天思科发布紧急更新提醒用户修复位于Secure Workload中的未授权API访问漏洞CVE-2026-20223CVSS满分10分。思科提到该漏洞CVE-2026-20223位于 Secure Workload 内部 REST API 的访问验证中可导致未经身份认证的远程攻击者以站点管理员权限访问站点资源。该漏洞因在访问 REST API 端点时的验证和认证不充分而引发。攻击者可通过向受影响端点发送构造 API 请求的方式利用该漏洞如利用成功则可以站点管理员用户的权限读取敏感信息并跨租户边界进行配置更改。受影响版本该漏洞影响Secure Workload Cluster Software 任何配置下的SaaS 版本和本地部署。该漏洞仅影响内部 REST API并不影响基于 web 的管理接口。思科Secure Workload版本首次已修复版本3.9及更早版本迁移到已修复版本3.103.10.8.34.04.0.3.1.7思科提到已在 SaaS 版本中修复该漏洞因此无需任何用户操作。另外思科表示产品安全事件响应团队仅验证了所发布安全公告中列出的受影响和已修复版本信息。该漏洞由思科在内部安全测试时发现。思科已发布软件更新修复该漏洞目前尚无应变措施。思科表示尚未发现该漏洞遭在野利用的迹象。开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读思科注意已遭利用的满分 SD-WAN 新 0day思科紧急修复高危 ISE 漏洞思科 IMC 中存在严重的认证绕过漏洞可用于获取管理员权限思科修复多个高危 IOS XR 漏洞思科注意已遭利用的两个 Catalyst SD-WAN 管理器 0day 漏洞思科提醒注意满分 Secure FMC 漏洞可用于获取 root 权限原文链接https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csw-pnbsa-g8WEnuy题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~
