Die Schwachstelle entsteht durch unzureichende Validierung und Authentifizierungsprüfungen bei der Abfrage von REST-API-Endpunkten der Secure Workload-Cluster-Software. Ein Angreifer kann eine speziell präparierte API-Anfrage an betroffene Endpunkte senden und damit sensitive Informationen auslesen sowie Konfigurationsänderungen vornehmen — und das ohne sich selbst authentifizieren zu müssen.
Die gravierendste Auswirkung besteht darin, dass Attacken unter Verwendung der Site-Admin-Privilegien durchgeführt werden können. Dies ermöglicht nicht nur Lesezugriffe, sondern auch umfangreiche Veränderungen an der Infrastruktur. Betroffene Organisationen könnten somit Opfer von Datendiebstahl, Sabotage oder unbefugten Konfigurationsänderungen werden.
Die Schwachstelle betrifft sowohl SaaS- als auch On-Premises-Deployments von Cisco Secure Workload Cluster Software — unabhängig von der Gerätekonfiguration. Cisco erklärt, dass es bei der internen Sicherheitsprüfung auf das Problem gestoßen ist. Zum aktuellen Zeitpunkt gibt es keinen Hinweis auf aktive Ausbeutung. Allerdings warnt der IT-Konzern, dass es derzeit keine Workarounds gibt, welche die Sicherheitslücke adressieren würden. Organisationen sind daher auf die zur Verfügung gestellten Sicherheitsupdates angewiesen.
Der aktuelle Patch ist ein Bestandteil von Ciscos verstärkten Sicherheitsbemühungen. Eine Woche zuvor hatte der Konzern über eine weitere maximale Sicherheitslücke (CVE-2026-20182, CVSS 10.0) in Catalyst SD-WAN Controller berichtet, die bereits von der Bedrohungsgruppe UAT-8616 ausgenutzt wurde. Damals erlangte der Angreifer unbefugte Kontrolle über SD-WAN-Systeme.
Für deutsche und europäische Unternehmen ist schnelles Handeln erforderlich. Eine zeitnahe Anwendung der verfügbaren Patches sollte höchste Priorität haben. Organisationen sollten zudem ihre Systeme hinsichtlich verdächtiger API-Zugriffe überwachen und ihre Incident-Response-Pläne aktualisieren.