Wenn ausgerechnet das Sicherheits-Werkzeug zur Schwachstelle wird, ist das doppelt unangenehm. Cisco hat am 20. Mai eine Sicherheitslücke in Cisco Secure Workload bestätigt, die den absoluten Höchstwert erreicht: CVSS 10.0. Die Lücke trägt die Kennung CVE-2026-20223 und das Advisory cisco-sa-csw-pnbsa-g8WEnuy. Keine Panik — aber auch kein Aufschieben. Wir erklären in Ruhe, was dahintersteckt und was du heute tun solltest.
SCHOCK: Der seltene Höchstwert 10.0
Ein CVSS-Score von 10.0 ist die Höchstpunktzahl auf der Schweregrad-Skala für Sicherheitslücken. Forscher vergeben sie nur, wenn alles zusammenkommt: Ein Angreifer kann ohne Anmeldung, aus der Ferne und ohne jede Nutzer-Interaktion zuschlagen, und der Schaden ist maximal. Genau das ist hier der Fall — und Cisco betont ausdrücklich: Es gibt keine Workarounds. Updaten ist die einzige Lösung.
Was ist Secure Workload überhaupt?
Cisco Secure Workload (früher als „Tetration“ bekannt) ist eine Plattform für Mikrosegmentierung in Rechenzentren und der Cloud. Vereinfacht gesagt: Sie überwacht den Datenverkehr zwischen Servern und Anwendungen und setzt Sicherheitsregeln durch, damit sich ein Angreifer im Ernstfall nicht frei im Netz bewegen kann. Eine zentrale Sicherheitsinstanz also — und damit ein besonders heikles Ziel.
GEFAHR: Schwache Prüfung an der REST-Schnittstelle
Die Lücke entsteht durch unzureichende Prüfung und Authentifizierung an internen REST-API-Endpunkten. Über diese Schwäche kann ein Angreifer ohne Zugangsdaten sensible Informationen auslesen und Konfigurationen ändern — und zwar über Mandantengrenzen hinweg und mit den Rechten des Site-Admin-Nutzers. In einer Multi-Tenant-Umgebung heißt das im Klartext: Wer die Lücke ausnutzt, bekommt Einblick und Kontrolle, die eigentlich streng getrennten Bereichen vorbehalten sind.
WER ist betroffen — und welche Version rettet dich?
Betroffen ist die Secure Workload Cluster Software, sowohl in der On-Premises-Variante als auch im SaaS-Betrieb. Cisco hat die Fixes bereits veröffentlicht:
- Release 3.10: gefixt in 3.10.8.3
- Release 4.0: gefixt in 4.0.3.17
- Release 3.9 und älter: Es gibt keinen direkten Patch — hier musst du auf eine gefixte Version migrieren.
SaaS-Instanzen werden in der Regel von Cisco zentral aktualisiert; bei On-Premises-Clustern liegt das Update in deiner Hand.
So gehst du RICHTIG vor
Auch wenn die meisten Heimnetz-Bastler diese Enterprise-Plattform nicht im Schrank haben — wer beruflich damit arbeitet, sollte jetzt strukturiert handeln:
- Version prüfen: Welche Release-Linie läuft bei dir, und liegt sie unter der Fix-Version?
- Updaten oder migrieren: bei 3.10/4.0 patchen, bei 3.9 und älter den Umstieg planen.
- API-Zugänge prüfen: Interne Management-Schnittstellen gehören grundsätzlich nicht offen ins Netz.
EXTRA-TIPP: Auch Sicherheits-Tools brauchen Pflege
Die generelle Lehre aus diesem Fall: Jede Software ist angreifbar — auch die, die schützen soll. Halte Sicherheits- und Management-Systeme genauso konsequent aktuell wie deine eigentlichen Anwendungen, und beschränke den Zugriff auf interne APIs strikt. So wird aus einer 10.0-Lücke kein 10.0-Vorfall.
FAZIT: Updaten, weil es keine Alternative gibt
Bei CVSS 10.0, unauthentifiziert und ohne Workaround gibt es keinen Spielraum. Prüfe deine Secure-Workload-Version und spiel den passenden Fix ein.
Häufige Fragen
Welche Versionen von Cisco Secure Workload sind betroffen?
Wie gefährlich ist CVE-2026-20223 wirklich?
Gibt es einen Workaround, wenn ich nicht sofort updaten kann?
Sind SaaS-Kunden ebenfalls betroffen?
Quellen:
Cisco Security Advisory (cisco-sa-csw-pnbsa-g8WEnuy) ·
The Hacker News ·
The Register ·
CSO Online
Stand: 23.05.2026. Genaue Fix-Versionen bitte im Cisco-Advisory gegenprüfen.