Cisco - CVE-2026-20223
Date de publication :
Il s'agit d'une vulnérabilité dans la couche de validation des accès aux API REST internes de Cisco Secure Workload.
Cisco Secure Workload est une plateforme de visibilité et de microsegmentation réseau destinée aux environnements de datacenters et multi-cloud. Elle assure la cartographie des flux applicatifs, l'application de politiques de segmentation zero-trust au niveau des workloads, et la supervision comportementale des communications entre services. Elle est déployée en mode appliance sur site ou en mode SaaS hébergé par Cisco.
Certains endpoints REST internes ne mettent pas en œuvre de mécanisme d'authentification ou de vérification d'identité avant de traiter les requêtes entrantes. Un attaquant distant peut envoyer une requête API forgée vers un endpoint affecté sans présenter de credentials valides. Le traitement de cette requête s'effectue avec les privilèges du rôle Site Admin, le niveau d'accès le plus élevé de la plateforme, sans contrainte de périmètre locataire. La vulnérabilité n'affecte pas l'interface de gestion web.
Elle permet à un attaquant non authentifié de lire des informations sensibles et d'effectuer des modifications de configuration sur l'ensemble des tenants de la plateforme avec les droits Site Admin.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Contournement de la politique de sécurité
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-306 : Missing Authentication for Critical Function
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Cisco Secure Workload versions 3.9 et antérieures (migration vers une version corrigée requise)
• Cisco Secure Workload versions 3.10 antérieures à 3.10.8.3
• Cisco Secure Workload versions 4.0 antérieures à 4.0.3.17
Solutions ou recommandations
• Cisco Secure Workload versions 4.0.3.17 ou supérieure.
• Migrer les déploiements en version 3.9 ou antérieure vers une version corrigée supportée.
• Pour les déploiements SaaS hébergés par Cisco, le correctif a été appliqué automatiquement, aucune action utilisateur n'est requise.