Cisco Secure Workload: Kritische REST‑API‑Lücke CVE‑2026‑20223 ermöglicht Admin‑Zugriff ohne Anmeldung

Besonders kritisch: Für die Ausnutzung sind keine Zugangsdaten und kein vorheriger Zugriff auf das System erforderlich.

Wie der Angriff über REST‑APIs funktioniert

Technisch entsteht die Schwachstelle durch unzureichende Authentifizierungs‑ und Validierungsprüfungen, wenn interne API‑Endpunkte angesprochen werden.

Der Angriff läuft typischerweise so ab:

1. Ein Angreifer identifiziert einen erreichbaren internen REST‑API‑Endpunkt.
2. Er sendet eine speziell gestaltete API‑Anfrage.
3. Der Server überprüft die Anfrage nicht korrekt auf Authentifizierung oder Berechtigungen.
4. Das System verarbeitet die Anfrage, als käme sie von einem legitimen Benutzer.

Auf diese Weise kann ein Angreifer sensible Daten auslesen oder Systemkonfigurationen verändern.

Warum die Lücke den CVSS‑Score 10.0 erhielt

Der CVSS‑Score von 10.0 – die höchste mögliche Einstufung – ergibt sich aus mehreren Faktoren:

• Remote ausnutzbar: Angriff über das Netzwerk möglich
• Keine Authentifizierung erforderlich
• Geringe technische Komplexität der Ausnutzung
• Hohe Auswirkungen auf Vertraulichkeit und Integrität

Ein weiterer Faktor ist laut Sicherheitsanalysen der sogenannte „Scope Changed“‑Effekt. Dabei kann ein erfolgreicher Angriff möglicherweise über Mandantengrenzen hinweg auf Ressourcen zugreifen. Das bedeutet, dass eine Kompromittierung über die ursprüngliche Sicherheitsgrenze hinaus Auswirkungen auf andere Bereiche oder Tenants der Plattform haben kann. Solche Szenarien erhöhen die Bewertung im CVSS‑System erheblich.

Betroffene Versionen und verfügbare Updates

Cisco hat Updates veröffentlicht, um die Schwachstelle zu schließen. Berichten zufolge betrifft sie die Cluster‑Software von Cisco Secure Workload.

Zu den bekannten behobenen Versionen gehören:

• Cisco Secure Workload 4.0.3.17
• Cisco Secure Workload 3.10.8.3

Systeme mit Version 3.9 oder älter gelten als verwundbar und sollten auf eine unterstützte, gepatchte Version aktualisiert werden. Cisco nennt keine verlässlichen Workarounds, weshalb ein Update die wichtigste Schutzmaßnahme darstellt.

Teil einer größeren Welle von Cisco‑Sicherheitsmeldungen 2026

Die Veröffentlichung von CVE‑2026‑20223 fällt in eine Phase mit zahlreichen Sicherheitsmeldungen von Cisco im Jahr 2026. Beispiele aus verschiedenen Produktlinien sind:

• Cisco Prime Infrastructure (CVE‑2026‑20189) – Informationsleck durch unzureichende Autorisierungsprüfung.
• Cisco Unity Connection (CVE‑2026‑20034, CVE‑2026‑20035) – Schwachstellen, die Remote‑Code‑Ausführung oder SSRF‑Angriffe ermöglichen können.
• Cisco Identity Services Engine – ISE (CVE‑2026‑20193, CVE‑2026‑20195) – Lücken, über die Angreifer Autorisierungsmechanismen umgehen könnten.
• Cisco Nexus Dashboard (CVE‑2026‑20042) – REST‑API‑Problem mit möglicher Offenlegung sensibler Konfigurationsdaten.

Diese Fälle zeigen einen breiteren Trend: Moderne Infrastruktur‑ und Managementplattformen verlassen sich stark auf APIs für Automatisierung und Verwaltung. Werden Authentifizierung oder Zugriffskontrollen in solchen Schnittstellen fehlerhaft implementiert, können daraus besonders kritische Sicherheitslücken entstehen.

Fazit

CVE‑2026‑20223 verdeutlicht ein häufiges Problem moderner Plattformarchitekturen: unzureichend abgesicherte interne APIs. In komplexen Multi‑Tenant‑Systemen kann ein solcher Fehler schnell zu einer kritischen Sicherheitslücke eskalieren.

Für Organisationen, die Cisco Secure Workload einsetzen, sind die wichtigsten Schritte:

• Installationen auf betroffene Versionen prüfen
• auf gepatchte Releases wie 3.10.8.3 oder 4.0.3.17 aktualisieren
• API‑Zugriff und Authentifizierungsmechanismen in Managementplattformen überprüfen

Selbst APIs, die nur für interne Systemkommunikation gedacht sind, müssen konsequent Authentifizierung und Autorisierung auf jedem Endpunkt erzwingen – sonst können sie zum Einfallstor für Angreifer werden.