Die Schwachstelle CVE-2026-20223 betrifft die internen REST-APIs von Cisco Secure Workload. Wie Cisco in einer am Mittwoch veröffentlichten Sicherheitsmitteilung erläutert, geht das Problem auf eine unzureichende Validierung und Authentifizierung beim Zugriff auf REST-API-Endpunkte zurück. Angreifer könnten die Lücke ausnutzen, indem sie eine speziell präparierte API-Anfrage an einen betroffenen Endpunkt senden – eine Authentifizierung ist dafür nicht erforderlich.
Ein erfolgreicher Angriff erlaubt laut Cisco das Auslesen sensibler Informationen sowie Konfigurationsänderungen über Mandantengrenzen hinweg, jeweils mit den Rechten der Rolle Site Admin. Secure Workload, vormals unter dem Namen Cisco Tetration vertrieben, dient eigentlich dazu, die Angriffsfläche von Netzwerken durch Zero-Trust-Mikrosegmentierung zu reduzieren und laterale Bewegungen zu verhindern.
Umgehungslösungen stellt Cisco nicht in Aussicht. Für Kunden mit lokalen Installationen wurden Software-Updates bereitgestellt; in der Cloud-Variante Cisco Secure Workload SaaS ist die Lücke bereits geschlossen. Das PSIRT von Cisco erklärte, vor Veröffentlichung der Mitteilung keine Hinweise auf eine Ausnutzung in freier Wildbahn gefunden zu haben.
Es ist nicht die einzige schwerwiegende Cisco-Lücke der jüngeren Zeit. In diesem Monat warnte das Unternehmen vor einer ebenfalls mit Höchstbewertung versehenen Schwachstelle zur Umgehung der Authentifizierung (CVE-2026-20182) in der Netzwerkplattform Catalyst SD-WAN, die als Zero-Day aktiv ausgenutzt wurde und Angreifern Administratorrechte verschaffte. Die US-Behörde CISA nahm CVE-2026-20182 am 14. Mai in ihren Katalog bekannter ausgenutzter Schwachstellen auf und verpflichtete Bundesbehörden, betroffene Geräte binnen drei Tagen – bis zum 17. Mai – abzusichern.
Anfang Mai hatte Cisco zudem Updates für eine Denial-of-Service-Schwachstelle in Crosswork Network Controller (CNC) und Network Services Orchestrator (NSO) veröffentlicht; betroffene Systeme lassen sich nur durch einen manuellen Neustart wiederherstellen.
In den vergangenen fünf Jahren hat CISA insgesamt 91 Cisco-Schwachstellen als aktiv ausgenutzt eingestuft, von denen sechs durch verschiedene Ransomware-Gruppen verwendet wurden.
