思科週三宣布發布補丁，修復安全工作負載中的一個嚴重漏洞，該漏洞可能允許攻擊者使用網站管理員權限存取網站資源。此漏洞編號為 CVE-2026-20223（CVSS 評分為 10/10），是由於 REST API 端點中的驗證和驗證不足而導致的。

思科在其公告中指出：“如果攻擊者能夠向受影響的端點發送精心構造的 API 請求，他們就可以利用此漏洞。”成功利用此安全漏洞，攻擊者可以讀取敏感資訊並跨租用戶邊界修改配置，並擁有網站管理員權限。

思科解釋說：“無論設備配置如何，此漏洞都會影響思科安全工作負載叢集軟體的 SaaS 和本地部署版本。此漏洞僅影響內部 REST API，不會影響基於 Web 的管理介面。”該漏洞已在 Secure Workload 版本 3.10.8.3 和 4.0.3.17 中修復。思科表示，目前尚未發現該漏洞被實際利用，但建議所有用戶更新其設備以避免將來遭受攻擊。

週三，這家科技巨頭還發布了針對 ThousandEyes 虛擬設備、ThousandEyes 企業代理以及 Nexus 3000 和 9000 系列交換機的三個中等嚴重性漏洞的補丁。這些漏洞可能允許攻擊者以 root 權限或節點使用者身分遠端執行命令，並觸發 BGP 對等體抖動，從而導致拒絕服務 (DoS) 情況。該公司表示，這些安全漏洞似乎都未被實際利用。更多資訊請造訪思科安全公告頁面。

資料來源：https://www.securityweek.com/cisco-patches-critical-vulnerability-in-secure-workload/