← Sve vesti
Ranjivosti 22. maj 2026. CyberPress

Cisco Secure Workload, alat za razdvajanje sistema, bez lozinke je puštao do Site Admin prava

Cisco Secure Workload, platforma čiji je posao da razdvaja radna okruženja i drži ih u logički odvojenim segmentima, kao fijokama, dobila je zakrpu za propust sa ocenom 10.0 — a taj maksimum se, kao i u gimnastici, deli retko. Greška (CVE-2026-20223, CWE-306) je u tome što pojedini interni REST API endpointi nisu tražili nikakvu proveru identiteta: napadač sa mreže je mogao da pošalje pripremljen zahtev bez ikakvih kredencijala i dobije prava Site Admin uloge. S tim pravima može da čita osetljive podatke i menja konfiguraciju i preko granica koje sam alat treba da čuva, prelazeći iz jednog tenanta u drugi. Pogođene su i SaaS i on-premise postavke: verzije 3.9 i starije, 3.10 pre 3.10.8.3 i 4.0 pre 4.0.3.17. Ispravljeno je u 3.10.8.3 i 4.0.3.17, dok korisnici 3.9 i starijih moraju da pređu na podržano izdanje. Cisco navodi da je propust našao kroz interno testiranje i da zloupotreba nije zabeležena, a zaobilaznog rešenja nema — jedini lek je zakrpa.

Pojašnjenje

Najopasnije ranjivosti, ocenjene desetkom, često su banalni propusti koji ne bi smeli da se dešavaju, ali se pojave s vremena na vreme. U ovom slučaju, alat čija je osnovna uloga da povlači granice između sektora imao je skriveni most za prelaz bez carinske kontrole. Firme ovakve platforme često uvode da zadovolje reviziju ili zero-trust priču, pa ih posle tretiraju kao infrastrukturu kojoj se veruje bez pitanja — a upravo su to mesta koja zaslužuju najčešće provere. Jer kad takvo uporište popusti, i dobar deo odbrambene strategije odlazi sa njim.

Preporuke
Originalni izvor → Sve vesti RSS