| Title | シスコシステムズのCisco Secure Workloadにおける重要な機能に対する認証の欠如に関する脆弱性 |
|---|---|
| Summary | Cisco Secure Workloadの内部REST APIにはアクセス検証の脆弱性があり、認証されていないリモートの攻撃者がSite Adminロールの権限でサイトリソースにアクセスできる可能性があります。この脆弱性はREST APIエンドポイントにアクセスする際の検証と認証が不十分であることが原因です。攻撃者は影響を受けるエンドポイントに細工されたAPIリクエストを送信することで、この脆弱性を悪用できます。攻撃が成功すると、攻撃者はSite Adminユーザーの権限でテナントの境界を越えて機密情報を読み取り、設定を変更できます。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 20, 2026, midnight |
| Registration Date | July 1, 2026, 10:57 a.m. |
| Last Update | July 1, 2026, 10:57 a.m. |
| CVSS3.0 : 緊急 | |
| Score | 10 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N |
| シスコシステムズ |
| Cisco Secure Workload 3.10.8.3 未満 |
| Cisco Secure Workload 4.0 以上 4.0.3.17 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年07月01日] 掲載 |
July 1, 2026, 10:57 a.m. |
| Summary | A vulnerability in the access validation of internal REST APIs of Cisco Secure Workload could allow an unauthenticated, remote attacker to access site resources with the privileges of the Site Admin role. This vulnerability is due to insufficient validation and authentication when accessing REST API endpoints. An attacker could exploit this vulnerability if they are able to send a crafted API request to an affected endpoint. A successful exploit could allow the attacker to read sensitive information and make configuration changes across tenant boundaries with the privileges of the Site Admin user. |
|---|---|
| Publication Date | May 21, 2026, 2:16 a.m. |
| Registration Date | May 21, 2026, 4:09 a.m. |
| Last Update | May 21, 2026, 2:30 a.m. |