Cisco waarschuwt voor een kritieke kwetsbaarheid in Secure Workload die aanvallers zonder authenticatie volledige Site Admin-rechten geeft. De bug scoort een maximale 10,0 op de CVSS-schaal en treft zowel SaaS als on-premises omgevingen. Er zijn geen workarounds beschikbaar.
De kwetsbaarheid, geregistreerd als CVE-2026-20223, zit in de interne REST API-endpoints van Cisco Secure Workload Cluster Software. Het probleem ontstaat door onvoldoende validatie en authenticatiecontroles. Aanvallers hoeven geen inloggegevens te gebruiken en kunnen met speciaal vervaardigde API-calls toegang krijgen tot het systeem.
Succesvolle aanvallen stellen kwaadwillenden in staat om gevoelige informatie te lezen en configuratiewijzigingen door te voeren over tenant-grenzen heen. Dit gebeurt met de privileges van de Site Admin-gebruiker, aldus Cisco in het beveiligingsadvies.
Cross-tenant risico’s
De bug treft interne REST API’s in plaats van de web management interface. Voor beheerders biedt dat onderscheid weinig troost, meldt ook The Register. Men merkt terecht op dat cross-tenant kwetsbaarheden bijzonder zorgwekkend zijn omdat ze de aanname ondermijnen dat tenants nooit elkaars compromissen zouden kunnen overnemen.
Cisco benadrukt dat er momenteel geen workarounds bestaan. Klanten moeten releases installeren met de fix om het probleem volledig te verhelpen. Versie 3.10.8.3 lost het op voor Secure Workload 3.10, terwijl 4.0.3.17 de fix bevat voor versie 4.0. Gebruikers van 3.9 of ouder moeten migreren naar een ondersteunde versie.
Interne ontdekking, geen actieve exploitatie
Er is wel een sprankje hoop dat de exploitatie theoretisch is en blijft. Cisco meldt dat de kwetsbaarheid is ontdekt tijdens interne tests. Er zijn geen aanwijzingen voor actieve exploitatie. Desondanks blijven bugs met een 10.0-score die geen authenticatie vereisen zelden lang stil. Cloud-gebaseerde SaaS-implementaties van Cisco zijn inmiddels gepatcht en vereisen geen actie van klanten.
De kwetsbaarheid komt minder dan een week nadat Cisco een andere ernstige kwetsbaarheid bekend maakte in SD-WAN systemen. Die bug stelde aanvallers in staat om zichzelf admin-rechten te geven. Het vormt een steeds langere reeks van hoog scorende Cisco-kwetsbaarheden het afgelopen jaar. Overigens is het verre van de enige partij waarbij er een hoge toename is bij die meldingen. Dat zou tevens niet eens slecht nieuws hoeven zijn, want het is mogelijk dat er meer kwetsbaarheden gevonden worden dan ooit als een percentage van het totale aantal cybergevaren.