Cisco は 2026 年 5 月 20-21 日にかけて、マイクロセグメンテーション / ワークロード保護製品「Secure Workload」(旧 Tetration) に CVSS 10.0 の最大重大度脆弱性 CVE-2026-20223 が存在することを公表しました。REST API エンドポイントにおける認証・入力検証の不備により、未認証の遠隔攻撃者が細工した API リクエストを送るだけで Site Admin 権限を奪取でき、テナント境界を越えて機密情報の読み取りや構成変更が可能です。Cisco SaaS 版は同社側で既に修正適用済みですが、オンプレ顧客は緊急にバージョンアップが必要です。
主なポイント
- CVSS v3.1 ベーススコア 10.0 (Attack Vector: Network / Complexity: Low / Privileges: None / User Interaction: None)
- 影響を受けるのは Cisco Secure Workload Cluster Software (SaaS / on-prem いずれも、設定によらず脆弱)
- 修正版は Release 3.10 系で 3.10.8.3、Release 4.0 系で 4.0.3.17。3.9 以前はサポート終了済みで移行が必要
- 回避策は無し。SaaS 版 (Cisco がホスト) は既に修正適用済みのため利用者側対応は不要
- Cisco PSIRT は「公開時点で公開された悪用情報や攻撃検知はない」とコメント。内部セキュリティテストで発見された
出典: Cisco Patches CVSS 10.0 Secure Workload REST API Flaw Enabling Data Access (The Hacker News)