Die Schwachstelle mit der Kennung CVE-2026-20223 entsteht laut Cisco durch eine unzureichende Validierung und Authentifizierung beim Zugriff auf Endpunkte der REST-API. Mit einem CVSS-Wert von 10.0 erreicht sie den maximalen Schweregrad.

Zum Angriffsweg führt der Hersteller aus, dass ein Angreifer die Lücke ausnutzen könnte, sofern er in der Lage ist, eine präparierte API-Anfrage an einen betroffenen Endpunkt zu senden. Bei erfolgreicher Ausnutzung könne er sensible Informationen auslesen und Konfigurationsänderungen über Mandantengrenzen hinweg vornehmen – und zwar mit den Rechten des Benutzers „Site Admin".

Betroffen ist die Cisco Secure Workload Cluster Software in SaaS- wie auch in On-Premises-Bereitstellungen, unabhängig von der Gerätekonfiguration. Cisco betont, dass es keine Workarounds gibt, die die Schwachstelle adressieren; die Lücke wurde in entsprechenden Softwareversionen behoben.

Nach Angaben des Netzwerkausrüsters wurde die Schwachstelle bei internen Sicherheitstests entdeckt. Es gebe keine Hinweise darauf, dass sie in freier Wildbahn ausgenutzt werde.

Die Offenlegung erfolgt rund eine Woche, nachdem Cisco eine weitere Schwachstelle mit maximalem Schweregrad bekannt gemacht hatte: Bei CVE-2026-20182 (CVSS-Wert 10.0) handelt es sich um eine Umgehung der Authentifizierung im Catalyst SD-WAN Controller. Diese Lücke wurde nach Angaben von Cisco bereits von einem als UAT-8616 bezeichneten Bedrohungsakteur ausgenutzt, um sich unbefugten Zugriff auf SD-WAN-Systeme zu verschaffen.