思科本週釋出安全更新,修補視訊會議產品Webex一個能讓駭客存取並冒充合法用戶的漏洞。
編號CVE-2026-20184的漏洞是位於Cisco Webex Services控制臺Control Hub的單一簽入(single-sign-on,SSO)整合,可讓未經驗證的遠端攻擊者假冒該服務中的任何用戶。Cisco Webex Services為雲端版本,在被配置成使用信任錨點進行單一登入(SSO),允許用戶以Control Hub管理。該漏洞出在憑證驗證不當,讓攻擊者能經由服務端點,以假造的令牌(token)通過驗證。成功濫用漏洞者可假冒用戶,存取合法Cisco Webex服務。本漏洞屬於CVSS風險分數9.8的重大漏洞。
思科已經更新這個Webex服務、解決漏洞。本漏洞沒有暫時性解決方法。不過為避免服務中斷,使用信任錨點作為SSO整合的使用者必須上傳新的身份供應商(identity provider)SAML憑證到Control Hub。
本漏洞是思科內部安全測試時發現。思科的產品安全事件回應團隊(PSIRT)未發現漏洞有公開或惡意濫用的情形。
