【安全资讯】思科警告Webex服务存在严重漏洞，需客户立即采取行动

概要：

在数字化办公日益普及的今天，企业通信平台的安全性至关重要。思科公司近日披露了其Webex服务中的一个关键安全漏洞，该漏洞可能允许攻击者未经授权访问服务，对企业数据和通信安全构成严重威胁。此事件凸显了云服务供应链安全的重要性，并促使相关客户必须立即采取补救措施。

主要内容：

思科发布的漏洞编号为CVE-2026-20184，存在于Webex服务与Control Hub的单点登录（SSO）集成中。该漏洞源于证书验证不当，远程攻击者无需任何权限即可通过构造特定令牌，伪装成任何合法用户。攻击者通过连接到服务端点并提交精心制作的令牌来利用此漏洞，一旦成功，将能非法访问思科Webex的各类服务。

尽管思科已在服务端修复了此漏洞，但使用SSO集成的客户必须采取额外行动。他们需要将身份提供商（IdP）的新SAML证书上传至Control Hub，否则可能面临服务中断的风险。这一步骤对于完全消除威胁至关重要。

与此同时，思科还修补了身份服务引擎（ISE）中的另外三个高危漏洞。这些漏洞可能允许攻击者在底层操作系统上执行任意命令，但利用前提是需要获得目标系统的管理凭证。此外，本周修复的漏洞列表中还包括十个中危漏洞，涉及身份验证绕过、权限提升和拒绝服务攻击。

思科产品安全事件响应团队（PSIRT）表示，目前尚无证据表明这些漏洞已被在野利用。然而，此次事件与近期思科安全防火墙管理中心的零日漏洞被勒索软件利用的事件相呼应，再次提醒组织需及时应用安全补丁并遵循供应商的安全指南。