Cisco 在 2026 年 5 月 6 日发布的安全公告中,将 CVE-2026-20188 描述为影响 Cisco Crosswork Network Controller(CNC)和 Cisco Network Services Orchestrator(NSO)的高危拒绝服务(DoS)漏洞 [1]。对运维团队来说,理解它的关键不是“被拿下主机”或“被窃取账号”,而是平台可用性:攻击者无需认证,就可能通过大量连接请求耗尽连接资源,让 CNC 或 NSO 不能正常响应 [
1]。
漏洞到底是什么
CVE-2026-20188 位于 CNC 和 NSO 的连接处理机制。Cisco 将原因归结为对入站网络连接的速率限制实现不足 [1]。
换句话说,系统没有充分限制短时间内涌入的连接请求。Cisco 表示,未认证的远程攻击者可向受影响系统发送大量连接请求触发该漏洞 [1]。第三方漏洞情报也将其列为高危,Mondoo 等来源给出的 CVSS 分值为 7.5 [
3][
12]。
为什么会变成无响应
这类攻击的路径可以概括为“连接耗尽”:
- 攻击者向受影响的 Cisco CNC 或 Cisco NSO 持续发送大量连接请求 [
1]。
- 由于入站连接限速不足,这些请求可能占用平台可用的连接资源 [
1]。
- 资源被耗尽后,CNC 或 NSO 可能无法继续服务合法用户或依赖它的服务,从而形成拒绝服务状态 [
1][
8]。
放到日常运维语境里,就是管理平台先被“接电话”这件事拖垮,还没来得及处理正常的管理、编排或自动化流量。
影响为什么不只是短暂卡顿
CVE-2026-20188 的公开影响集中在可用性,而不是远程代码执行或凭据泄露 [1]。但对网络控制器和服务编排器而言,可用性本身就是关键指标:一旦平台无响应,管理员和依赖服务可能无法按正常路径访问系统 [
8]。
更麻烦的是,围绕 Cisco 修复的公开报道指出,成功攻击后,目标系统的恢复可能需要手动重启 [6]。这意味着事件处置可能不只是等待流量下降,还可能涉及窗口期安排、现场或远程重启流程,以及对依赖业务的协调。
哪些版本需要优先核查
Cisco 官方公告点名的受影响产品族是 Cisco Crosswork Network Controller 和 Cisco Network Services Orchestrator [1]。加拿大网络安全中心的 Cisco 公告摘要在 2026 年 5 月 6 日更新中列出了相关范围,包括 Cisco CNC 7.1 及更早版本、Cisco NSO 6.3 及更早版本,以及 Cisco NSO 6.4.1.3 之前的版本 [
7]。
不过,Cisco 的发行分支和部署形态可能不同。实际判断时,应以 Cisco 官方安全公告中的受影响版本和已修复版本为准 [1]。
该怎么处理:不要等变通方案
Cisco 在公告中明确表示,CVE-2026-20188 没有可用的变通方案 [1]。Cisco 已发布安全更新,实际修复路径是将受影响的 CNC 和 NSO 部署升级到已修复的软件版本 [
6]。
建议运维和安全团队优先做三件事:
- 盘点环境中是否部署了 Cisco CNC 或 Cisco NSO。
- 将当前安装版本与 Cisco 官方公告及升级建议逐项比对 [
1]。
- 预先确认恢复流程;如果系统已被成功触发为无响应,公开报道称可能需要手动重启才能恢复 [
6]。
结论很直接:CVE-2026-20188 是一个连接耗尽型 DoS 漏洞。攻击者通过大量连接尝试消耗平台的连接处理能力,可能让 Cisco CNC 或 NSO 无法正常响应,直到完成修复或恢复处置 [1][
6]。
%20(1).webp)
