思科修補 Webex 重大非授權存取漏洞
漏洞概述與影響
思科本週釋出安全更新,修補視訊會議產品 Webex 一個能讓駭客存取並冒充合法用戶的重大漏洞。該漏洞被識別為 CVE-2026-20184,屬於不當憑證驗證(Improper Certificate Validation)問題。
此漏洞源於 Webex 服務在處理單一登入 (SSO) 整合機制時,其身分驗證模組未能進行妥善的憑證校驗。遠端攻擊者可能透過發送特製的惡意請求,成功繞過驗證機制,從而取得對服務的存取權限。
風險評估與技術細節
該漏洞的 CVSS 風險分數高達 9.8,被歸類為嚴重風險。成功濫用此漏洞的攻擊者可以:
- 偽造驗證憑證:繞過正常的身份驗證流程。
- 冒充任意用戶:以合法用戶的身分登入系統。
- 存取服務功能:包括讀取用戶工作階段及明碼儲存的授權權杖。
- 竊取企業資源:潛在威脅到企業內部通訊與資料安全。
思科回應與建議
思科已針對此漏洞發布安全更新,建議所有使用 Cisco Webex Services 的用戶及組織盡快安裝最新版本以進行修補。官方表示,雖然漏洞存在,但截至目前尚未有證據顯示該漏洞已被廣泛濫用。