JawabanDipublikasikan13 sumber
CVE-2026-20223: Celah Kritis di Cisco Secure Workload Memungkinkan Akses Admin Tanpa Login
CVE 2026 20223 adalah kerentanan kritis pada Cisco Secure Workload yang berasal dari validasi akses yang tidak memadai pada REST API internal. Penyerang jarak jauh tanpa autentikasi dapat mengirim permintaan API khusus untuk memperoleh akses ke sumber daya dengan hak Site Admin.
1.4M0
AI Perintah
openai.comCreate a landscape editorial hero image for this Studio Global article: What is the critical vulnerability Cisco disclosed in its Secure Workload platform (CVE 2026 20223), how does the flaw work through unauthen. Article summary: Cisco disclosed CVE 2026 20223 as a critical Cisco Secure Workload flaw in the access validation of internal REST APIs that could let an unauthenticated remote attacker access site resources with the privileges of anothe. Topic tags: general web, workflow, code, api, security. Reference image context from search candidates: Reference image 1: visual subject "An unauthenticated attacker with network access can exploit this vulnerability by sending crafted requests to the exposed endpoint to enumerate cluster metadata, including virtual" source context "Latest Cisco Vulnerabilities" Reference image 2: visual subject "A critical zero-day vulnerability in Cisco's F
Apa itu CVE-2026-20223?
CVE-2026-20223 adalah kerentanan keamanan bertingkat kritis pada platform Cisco Secure Workload (sebelumnya dikenal sebagai Cisco Tetration). Celah ini berasal dari kegagalan dalam validasi akses pada REST API internal, yang memungkinkan penyerang jarak jauh mengakses sumber daya sistem tanpa proses autentikasi yang sah.
Menurut deskripsi di National Vulnerability Database (NVD), kelemahan ini memungkinkan penyerang mengakses sumber daya situs menggunakan hak istimewa pengguna lain—bahkan hingga peran Site Admin.
Kerentanan ini menjadi sangat berbahaya karena dapat dieksploitasi dari jarak jauh dan tidak memerlukan kredensial atau akses awal ke sistem.
Bagaimana serangan melalui REST API terjadi
Masalah inti berada pada mekanisme validasi dan autentikasi endpoint REST API internal. Dalam kondisi normal, endpoint API internal seharusnya hanya dapat diakses oleh komponen sistem yang sudah diautentikasi.
Namun pada kerentanan ini:
- Validasi akses pada endpoint tertentu tidak dilakukan secara memadai.
- Sistem tidak memverifikasi autentikasi sebelum memproses permintaan API tertentu.
- Penyerang dapat mengirim permintaan API yang dimodifikasi (crafted API request) langsung ke endpoint yang rentan.
Jika berhasil, server akan memproses permintaan tersebut dan memberikan akses seolah‑olah permintaan berasal dari pengguna yang sah.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Orang-orang juga bertanya
Apa jawaban singkat untuk "CVE-2026-20223: Celah Kritis di Cisco Secure Workload Memungkinkan Akses Admin Tanpa Login"?
CVE 2026 20223 adalah kerentanan kritis pada Cisco Secure Workload yang berasal dari validasi akses yang tidak memadai pada REST API internal.
Apa poin penting yang harus divalidasi terlebih dahulu?
CVE 2026 20223 adalah kerentanan kritis pada Cisco Secure Workload yang berasal dari validasi akses yang tidak memadai pada REST API internal. Penyerang jarak jauh tanpa autentikasi dapat mengirim permintaan API khusus untuk memperoleh akses ke sumber daya dengan hak Site Admin.
Apa yang harus saya lakukan selanjutnya dalam latihan?
Kerentanan ini diberi skor CVSS maksimum 10.0 karena dampaknya dapat melintasi batas tenant (scope changed) dan memberi akses administratif.
Sumber
- nvd.nist.govCVE-2026-20223 Detail - NVD
- tenable.comCVE-2026-20223 | Tenable®
- security-next.comワークロード保護製品「Cisco Secure Workload」に深刻な脆弱性
- its.ny.govMultiple Vulnerabilities in Cisco Products Could Allow for Remote ...
- cisco.comCisco Prime Infrastructure Information Disclosure Vulnerability
- cisco.comCisco Unity Connection Remote Code Execution and Server-Side ...
Loading comments...
Comments
0 comments