シスコシステムズのCisco Secure Workloadにおける重要な機能に対する認証の欠如に関する脆弱性
タイトル シスコシステムズのCisco Secure Workloadにおける重要な機能に対する認証の欠如に関する脆弱性
概要

Cisco Secure Workloadの内部REST APIにはアクセス検証の脆弱性があり、認証されていないリモートの攻撃者がSite Adminロールの権限でサイトリソースにアクセスできる可能性があります。この脆弱性はREST APIエンドポイントにアクセスする際の検証と認証が不十分であることが原因です。攻撃者は影響を受けるエンドポイントに細工されたAPIリクエストを送信することで、この脆弱性を悪用できます。攻撃が成功すると、攻撃者はSite Adminユーザーの権限でテナントの境界を越えて機密情報を読み取り、設定を変更できます。

想定される影響 ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 
対策

ベンダ情報を参照して適切な対策を実施してください。

公表日 2026年5月20日0:00
登録日 2026年7月1日10:57
最終更新日 2026年7月1日10:57
CVSS3.0 : 緊急
スコア 10
ベクター CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
影響を受けるシステム
シスコシステムズ
Cisco Secure Workload 3.10.8.3 未満
Cisco Secure Workload 4.0 以上 4.0.3.17 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
1 [2026年07月01日]
  掲載
2026年7月1日10:57

NVD脆弱性情報
CVE-2026-20223
概要

A vulnerability in the access validation of internal REST APIs of Cisco Secure Workload could allow an unauthenticated, remote attacker to access site resources with the privileges of the Site Admin role.

This vulnerability is due to insufficient validation and authentication when accessing REST API endpoints. An attacker could exploit this vulnerability if they are able to send a crafted API request to an affected endpoint. A successful exploit could allow the attacker to read sensitive information and make configuration changes across tenant boundaries with the privileges of the Site Admin user. 

公表日 2026年5月21日2:16
登録日 2026年5月21日4:09
最終更新日 2026年5月21日2:30
関連情報、対策とツール
共通脆弱性一覧