CRITICAL✓ PATCH🇬🇧 English

CVE-2026-20184

Cisco Webex SSO — podszywanie się pod użytkownika przez błędną walidację certyfikatu

CVSS 9.8v3.1pub. 2026-04-15upd. 2026-04-17

Podatność w integracji SSO z Control Hub w Cisco Webex Services umożliwiała nieuwierzytelnionemu, zdalnemu atakującemu podszywanie się pod dowolnego użytkownika usługi. Błąd dotyczy nieprawidłowej walidacji certyfikatu (CWE-295) i otrzymał ocenę CVSS 9.8 (CRITICAL).

Pokaż oryginał (EN)

A vulnerability in the integration of single sign-on (SSO) with Control Hub in Cisco Webex Services could have allowed an unauthenticated, remote attacker to impersonate any user within the service. This vulnerability existed because of improper certificate validation. Prior to this vulnerability being addressed, an attacker could have exploited this vulnerability by connecting to a service endpoint and supplying a crafted token. A successful exploit could have allowed the attacker to gain unauthorized access to legitimate Cisco Webex services.

🤖 Analiza AI
Jak działa

Podatność wynikała z nieprawidłowej walidacji certyfikatu podczas procesu uwierzytelniania SSO zintegrowanego z Control Hub. Atakujący mógł połączyć się z punktem końcowym usługi i dostarczyć spreparowany token. Brak odpowiedniej weryfikacji certyfikatu powodował, że usługa akceptowała fałszywy token jako legitymizujący dowolnego użytkownika, bez konieczności posiadania hasła ani żadnych danych uwierzytelniających.

Skutki

Skuteczne wykorzystanie podatności pozwalało atakującemu uzyskać nieautoryzowany dostęp do legalnych usług Cisco Webex, podszywając się pod dowolnego użytkownika w obrębie platformy, co mogło prowadzić do naruszenia poufności, integralności i dostępności danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (Cisco Security Advisory: cisco-sa-webex-cui-cert-8jSZYhWL). Podatność została zaadresowana przez Cisco; zaleca się niezwłoczne sprawdzenie i wdrożenie dostępnych poprawek.

Kogo dotyczy

Cisco Webex Services z włączoną integracją SSO z Control Hub — szczegółowe informacje o wersjach dostępne są w referencjach producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje