概要

Ciscoは2026年5月、Secure WorkloadのREST APIに存在する最大深刻度の脆弱性CVE-2026-20223(CVSSスコア10.0)に対するパッチを公開した。この脆弱性は「RESTAPIエンドポイントへのアクセス時における検証と認証の不備」に起因するもので、認証されていない遠隔攻撃者が細工したAPIリクエストを送信するだけで、サイト管理者(Site Admin)の権限でテナント境界を越えた機密情報の読み取りや設定変更が可能となる。影響はSaaS環境およびオンプレミスのCisco Secure Workload Clusterソフトウェアの両方に及び、構成に関わらず対象となる。

影響範囲とパッチ情報

脆弱性の影響を受けるバージョンと対応状況は以下のとおりである。

  • バージョン3.9以前:パッチは提供されず、修正済みバージョンへの移行が必要
  • バージョン3.10:3.10.8.3で修正済み
  • バージョン4.0:4.0.3.17で修正済み

本脆弱性を緩和する回避策は存在しないため、該当バージョンを利用している組織は直ちにアップデートを適用することが強く推奨される。CiscoはこのCVEを自社の内部セキュリティテストを通じて発見しており、現時点で野外での悪用事例は確認されていない。

背景と注意点

今回の修正は、Cisco製品における認証バイパス系の脆弱性が相次いで報告されている文脈の中で発表された。直近では、Catalyst SD-WAN Controllerにおいても同様に最大深刻度(CVSS 10.0)の認証バイパス脆弱性CVE-2026-20182が明らかになっており、こちらは脅威アクター「UAT-8616」による実際の悪用が既に確認されている。Cisco Secure Workloadは主にクラウドワークロードのマイクロセグメンテーションや可視化に利用されるプラットフォームであり、攻撃者に管理者権限を奪取されると、ネットワーク内のセグメンテーションポリシーの変更や機密データへの不正アクセスなど、深刻な影響を招く可能性がある。早期パッチ適用と脆弱性管理プロセスの見直しが急務である。