CVE‑2026‑20223 в Cisco Secure Workload: как ошибка в REST API привела к риску CVSS 10.0

Однако в некоторых endpoint отсутствовала достаточная проверка аутентификации и прав доступа. В результате злоумышленник мог отправить специально сформированный API‑запрос напрямую к уязвимому endpoint и получить доступ к операциям, которые должны быть доступны только авторизованным пользователям.

Возможные последствия успешной атаки включают:

• доступ к конфиденциальным данным сайта
• изменение конфигурации системы
• выполнение административных операций с правами Site Admin

Ключевой фактор риска — эксплуатация не требует учётных данных или предварительного доступа к системе.

Как работает атака через REST API

Уязвимость возникает из‑за того, что при обращении к некоторым внутренним API не выполняется полноценная проверка аутентификации и прав пользователя.

Типичный сценарий эксплуатации выглядит так:

1. Злоумышленник находит доступный endpoint внутреннего REST API.
2. Отправляет специально сформированный HTTP‑запрос.
3. Endpoint не выполняет корректную проверку доступа.
4. Система обрабатывает запрос как легитимный и выполняет административную операцию.

В результате атакующий может читать конфиденциальную информацию или изменять настройки платформы управления инфраструктурой.

Почему уязвимость получила CVSS 10.0

CVE‑2026‑20223 получила критическую оценку CVSS 10.0, максимальную возможную по шкале.

На оценку повлияли несколько факторов:

• Удалённая эксплуатация через сеть
• Отсутствие аутентификации
• Низкая сложность атаки — достаточно отправить подготовленный API‑запрос
• Высокий потенциальный ущерб — доступ к конфиденциальным данным и административным функциям

Дополнительный фактор — возможный межтенантный эффект (cross‑tenant). Аналитики отмечают, что уязвимость может позволить получить доступ к ресурсам за пределами исходной границы безопасности компонента. В терминологии CVSS это называется "scope changed", когда атака затрагивает другой уровень доверия или другую изолированную среду.

Уязвимые версии и исправления

Cisco выпустила обновления для устранения проблемы в программном обеспечении Cisco Secure Workload Cluster Software.

Исправления доступны в версиях:

• Cisco Secure Workload 4.0.3.17
• Cisco Secure Workload 3.10.8.3

Системы, работающие на версии 3.9 и более ранних, считаются уязвимыми и должны быть обновлены до поддерживаемых исправленных релизов.

Cisco не указала эффективных обходных решений, поэтому обновление программного обеспечения является основной мерой защиты.

Контекст: серия уязвимостей Cisco в 2026 году

Раскрытие CVE‑2026‑20223 произошло на фоне серии предупреждений безопасности Cisco в 2026 году, затронувших разные корпоративные продукты.

Среди них:

• Cisco Prime Infrastructure (CVE‑2026‑20189) — утечка информации из‑за недостаточной проверки авторизации.
• Cisco Unity Connection (CVE‑2026‑20034, CVE‑2026‑20035) — уязвимости, позволяющие удалённое выполнение кода или SSRF‑атаки.
• Cisco Identity Services Engine (CVE‑2026‑20193, CVE‑2026‑20195) — проблемы обхода механизмов авторизации.
• Cisco Nexus Dashboard (CVE‑2026‑20042) — уязвимость REST API, раскрывающая конфиденциальные данные конфигурации.

Эти случаи отражают более широкую тенденцию: современные корпоративные платформы активно используют API для автоматизации и управления инфраструктурой. Если в таких API отсутствуют строгие проверки аутентификации или авторизации, даже небольшая ошибка может привести к критическим последствиям.

Главное для администраторов

CVE‑2026‑20223 демонстрирует типичную, но опасную проблему безопасности — неправильный контроль доступа во внутренних API.

Для организаций, использующих Cisco Secure Workload, приоритетные шаги очевидны:

• проверить используемые версии платформы
• обновиться до 3.10.8.3 или 4.0.3.17
• аудитировать доступность и защиту API в системах управления инфраструктурой

Даже если API предназначен только для внутренних компонентов системы, он должен обеспечивать строгую проверку аутентификации и прав доступа — иначе такие ошибки могут быстро превратиться в критические уязвимости.