CVE-2026-20223 Cisco Workload CVSS 10.0 Site-Admin-Zugriff

CVE-2026-20223 mit CVSS 10.0 in Cisco Secure Workload Fehlende API-Authentifizierung gibt Angreifern Site-Admin-Rechte

08.06.2026 Von Thomas Joos 2 min Lesedauer

Eine kritische Schwachstelle mit CVSS 10.0 in Cisco Secure Workload erlaubt unauthentifizierten Angreifern den Zugriff auf interne REST-APIs. Über manipulierte Anfragen lassen sich Site-Admin-Rechte erlangen und Konfigurationen über Mandantengrenzen hinweg verändern. Patches sind verfügbar, SaaS-Installationen hat Cisco bereits serverseitig korrigiert.

Die kritische Schwachstelle CVE-2026-20223 mit CVSS 10.0 erlaubt unauthentifizierten Angreifern Site-Admin-Rechte in Cisco Secure Workload zu erlangen. Patches sind verfügbar.(Bild: © ImageFlow - stock.adobe.com) — Die kritische Schwachstelle CVE-2026-20223 mit CVSS 10.0 erlaubt unauthentifizierten Angreifern Site-Admin-Rechte in Cisco Secure Workload zu erlangen. Patches sind verfügbar.
(Bild: © ImageFlow - stock.adobe.com)

Cisco stuft die Schwachstelle CVE-2026-20223 als kritisch ein und hat dazu am 20.05.2026 ein Advisory veröffentlicht. Betroffen ist die Cisco Secure Workload Cluster Software, die Plattform für Workload-Sichtbarkeit und Mikrosegmentierung, früher unter dem Namen Tetration geführt. Der Fehler steckt in der Zugriffsprüfung interner REST-APIs und hat einen CVSS-Wert von 10.0.

Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)

Fehlende Authentifizierung an internen Schnittstellen

Die interne Programmierschnittstelle prüft Authentifizierung und Berechtigungen nicht ausreichend. Ein entfernter Akteur sendet eine manipulierte API-Anfrage an einen verwundbaren Endpunkt und kann darüber Aktionen mit den Rechten der Rolle Site Admin ausführen. Cisco ordnet den Fehler der Kategorie CWE-306 zu, der fehlenden Authentifizierung für kritische Funktionen. Ein erfolgreicher Angriff verlangt keine Zugangsdaten, keine Nutzerinteraktion und nur geringe Komplexität, was den Höchstwert begründet.

Site Admin bildet die höchste Rolle im Mandantenmodell von Secure Workload. Ein Angreifer mit dieser Berechtigung liest sensible Informationen aus, ändert Konfigurationen und überschreitet dabei die Grenzen einzelner Mandanten. In Umgebungen, in denen Secure Workload die Segmentierung und Sicherheitsrichtlinien durchsetzt, reicht die Wirkung über reinen Datenabfluss hinaus bis zur operativen Kontrolle über die Policy.

Die Sicherheitsbehörden aus den USA, UK, Neuseeland, Australien und Kanada warnen vor Angriffen auf Cisco Catalyst SD-WAN. Wenige Angriffe laufen bereits. (©Sergey Nivens - stock.adobe.com)

Betroffene Versionen und verfügbare Updates

Die Lücke betrifft SaaS- und On-Premises-Installationen, unabhängig von der Gerätekonfiguration. Das webbasierte Management-Interface bleibt außen vor, der Fehler beschränkt sich auf interne REST-APIs. Workarounds gibt es nicht, allein das Einspielen der korrigierten Software schließt die Schwachstelle.

Für den Zweig 3.10 liefert Cisco die Korrektur in Release 3.10.8.3, für den Zweig 4.0 in Release 4.0.3.17. Installationen mit Version 3.9 oder älter erhalten keinen direkten Fix, hier steht der Wechsel auf einen korrigierten Zweig an. Die SaaS-Variante hat Cisco bereits serverseitig korrigiert, dort fällt eine Aktion der Kunden weg. Intern führt Cisco das Problem unter der Bug-ID CSCwt99942.

Im Rückblick auf 2025 verzeichnete der KEV-Katalog der CISA einen alarmierenden Anstieg von 20 Prozent ausgenutzten Schwachstellen, was die dringende Notwendigkeit für Unternehmen weltweit verdeutlicht, Sicherheitslücken aktiv zu priorisieren. (Bild: Nmedia - stock.adobe.com)

Fazit

Cisco gibt an, die Schwachstelle bei internen Sicherheitstests entdeckt zu haben. Nach Angaben des PSIRT liegen keine Hinweise auf öffentliche Berichte oder eine bösartige Nutzung vor. Mit einem verfügbaren Patch und damit dokumentierten technischen Details steigt das Risiko einer Ausnutzung für ungepatchte Cluster.

(ID:50864007)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.