思科修補Secure Workload滿分API未授權存取漏洞

思科修補的漏洞編號為CVE-2026-20223影響思科雲端工作負載防護暨零信任微分段（microsegmentation）平臺Secure Workload（原名Tetration），位於該產品的REST API，原因出在它對外部存取請求的驗證不足。

遠端攻擊者傳送對API端點發送變造的存取請求就能濫用本漏洞。成功濫用CVE-2026-20223的攻擊者將可以Site Admin的管理員權限，跨租戶讀取敏感資訊或變更配置。這項漏洞CVSS風險值達到最高分的10.0。

CVE-2026-20223影響思科Secure Workload叢集軟體，包括3.9及以前版本、3.10及4.0版，涵括SaaS及本地部署環境。不過思科強調，漏洞僅存在產品內部的REST API，不影響Web化管理介面。

思科已釋出最新版軟體解決漏洞。由於漏洞沒有緩解方法，思科呼籲用戶儘速安裝最新版本，包括Secure Workload 3.10.8.3及4.0.3.17。3.9以前版本已經EoL（end of lifecycle），思科也呼籲用戶升級到支援版本。

CVE-2026-20223是思科內部安全測試中發現，目前該公司產品安全事件回應小組（PSIRT）未發現有漏洞公開或被惡意濫用的情形。