Die Schwachstelle CVE-2026-20223 wurde in den internen REST-APIs von Cisco Secure Workload identifiziert. Sie entsteht durch unzureichende Validierung und Authentifizierungsprüfungen beim Zugriff auf API-Endpunkte. Ein Angreifer könnte eine manipulierte API-Anfrage senden und damit auf sensitive Informationen zugreifen sowie Konfigurationsänderungen über Mandantengrenzen hinweg mit Site-Admin-Privilegien vornehmen.
Cisco hat bereits Sicherheitsupdates für On-Premises-Kunden bereitgestellt und das Cloud-SaaS-Angebot von Secure Workload gepatcht. Das Product Security Incident Response Team (PSIRT) meldet bislang keine Hinweise auf reale Exploits dieser Lücke.
Diese Warnung folgt auf eine Serie kritischer Cisco-Sicherheitsmeldungen. Erst Mitte Mai warnte der Hersteller vor CVE-2026-20182, einer maximalen Authentifizierungslücke in Catalyst SD-WAN, die bereits als Zero-Day aktiv ausgenutzt wird. Die US-Cybersecurity and Infrastructure Security Agency (CISA) fügte diese Lücke sofort in ihr Katalog aktiv ausgenutzter Schwachstellen ein und forderte US-Bundesbehörden zur sofortigen Behebung auf.
Auch andere Cisco-Produkte waren jüngst betroffen: Im Mai beschrieb Cisco zudem eine Denial-of-Service-Schwachstelle in Crosswork Network Controller und Network Services Orchestrator, die manuelle Neustarts betroffener Systeme erfordert.
Die Statistiken sind besorgniserregend: CISA registrierte in den vergangenen fünf Jahren 91 Cisco-Lücken als aktiv ausgenutzt, sechs davon durch Ransomware-Gruppen. Dies unterstreicht die Notwendigkeit schneller Patch-Management-Prozesse in deutschen Organisationen.
Für Unternehmen unter DSGVO-Regelwerk ist die Lücke relevant: Ein erfolgreicher Exploit könnte zum Datenschutzverstoß führen, mit Meldepflicht an Behörden und potentiellen Bußgeldern bis zu 4 % des Jahresumsatzes. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) dürfte diese Lücke zeitnah in seinen Warnungen hervorheben.