製品・ソフトウェアに関する情報
シスコシステムズのCisco Secure Workloadにおける重要な機能に対する認証の欠如に関する脆弱性
Title シスコシステムズのCisco Secure Workloadにおける重要な機能に対する認証の欠如に関する脆弱性
Summary

Cisco Secure Workloadの内部REST APIにはアクセス検証の脆弱性があり、認証されていないリモートの攻撃者がSite Adminロールの権限でサイトリソースにアクセスできる可能性があります。この脆弱性はREST APIエンドポイントにアクセスする際の検証と認証が不十分であることが原因です。攻撃者は影響を受けるエンドポイントに細工されたAPIリクエストを送信することで、この脆弱性を悪用できます。攻撃が成功すると、攻撃者はSite Adminユーザーの権限でテナントの境界を越えて機密情報を読み取り、設定を変更できます。

Possible impacts ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date May 20, 2026, midnight
Registration Date July 1, 2026, 10:57 a.m.
Last Update July 1, 2026, 10:57 a.m.
CVSS3.0 : 緊急
Score 10
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
Affected System
シスコシステムズ
Cisco Secure Workload 3.10.8.3 未満
Cisco Secure Workload 4.0 以上 4.0.3.17 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年07月01日]
  掲載
July 1, 2026, 10:57 a.m.

NVD Vulnerability Information
CVE-2026-20223
Summary

A vulnerability in the access validation of internal REST APIs of Cisco Secure Workload could allow an unauthenticated, remote attacker to access site resources with the privileges of the Site Admin role.

This vulnerability is due to insufficient validation and authentication when accessing REST API endpoints. An attacker could exploit this vulnerability if they are able to send a crafted API request to an affected endpoint. A successful exploit could allow the attacker to read sensitive information and make configuration changes across tenant boundaries with the privileges of the Site Admin user. 

Publication Date May 21, 2026, 2:16 a.m.
Registration Date May 21, 2026, 4:09 a.m.
Last Update May 21, 2026, 2:30 a.m.
Related information, measures and tools
Common Vulnerabilities List