Cisco Secure Workload sérülékenység
Cisco maximális, 10.0 CVSS-besorolású sérülékenységet javított a Cisco Secure Workload (korábbi nevén Tetration) platformban. A CVE-2026-20223 azonosítójú hiba az internal REST API végpontok hibás hitelesítéséből és jogosultságkezeléséből ered, és lehetővé teszi, hogy egy távoli, hitelesítés nélküli támadó Site Admin jogosultságot szerezzen speciálisan kialakított API-kérésekkel.
A sikeres exploit teljes adminisztratív kontrollt adhat az érintett környezet felett, a támadó érzékeny adatokat olvashat ki, konfigurációkat módosíthat és akár tenantok közötti hozzáférést is szerezhet több-bérlős környezetekben. A sérülékenység különösen veszélyes, mert nincs szükség felhasználói interakcióra vagy előzetes hitelesítésre.
Az érintett verziók között szerepelnek a 3.10-es és 4.0-s kiadások, a javítások pedig a 3.10.8.3 és 4.0.3.17 verziókban érhetők el. Cisco szerint nincs workaround, ezért az on-prem rendszerek esetében az azonnali frissítés az egyetlen érdemi védekezési lehetőség. A SaaS környezeteket a vállalat központilag már javította.
