### Cisco Secure Workload の重大な脆弱性 **Cisco** Secure Workload で、攻撃者が認証なしで機密データにアクセスできる可能性のある、最高レベルの重大性を持つ脆弱性が発見されました。この脆弱性は **CVE-2026-20223** として追跡されており、CVSS スコアは 10.0 で、その重大性を示しています。 ### 技術的詳細 この脆弱性は、REST API エンドポイントへのアクセスにおける不十分な検証および認証メカニズムに起因します。**Cisco** によると、攻撃者は細工された API リクエストを脆弱なエンドポイントに送信することで、この脆弱性を悪用する可能性があります。悪用に成功した場合、攻撃者は Site Admin ユーザーの権限で、テナント境界を越えて機密情報を読み取り、設定を変更する能力を得ることができます。 ### 影響 この欠陥は、SaaS およびオンプレミス展開の **Cisco** Secure Workload Cluster Software に影響を与え、デバイスの設定に関係なく影響を受けます。**Cisco** は、この脆弱性を軽減するための回避策は利用できないと述べており、直ちにパッチを適用する必要性を強調しています。 ### 影響を受けるバージョンと修正プログラム **Cisco** は、以下のバージョンでこの脆弱性に対処しました。 * Cisco Secure Workload Release 3.9 およびそれ以前: 修正済みリリースに移行してください。 * Cisco Secure Workload Release 3.10: 3.10.8.3 で修正済み。 * Cisco Secure Workload Release 4.0: 4.0.3.17 で修正済み。 ### 発見と悪用 **Cisco** は、社内のセキュリティテスト中にこの脆弱性を発見しました。同社は、この脆弱性が実際に悪用されている証拠はないと報告しています。 ### 最近の Cisco の脆弱性 今回の発表は、**Cisco** Catalyst SD-WAN Controller における別の重大な認証バイパスの欠陥 (**CVE-2026-20182**) に関する最近の発表に続くものです。この脆弱性は、脅威アクター UAT-8616 によって SD-WAN システムへの不正アクセスを得るために積極的に悪用されています。