CRITICALCVE-2026-20184CVSS 9.8

思科 Webex 会议证书验证漏洞

平台

cisco

组件

webex-meetings

修复版本

39.7.8

39.9.1

40.4.11

39.6.1

40.6.3

39.8.3

39.8.5

40.1.1

39.11.1

39.7.5

39.9.2

40.4.1

40.6.1

39.7.1

39.8.1

39.8.4

40.2.1

39.10.1

42.6.1

42.7.1

42.8.1

42.9.1

42.10.1

42.11.1

42.12.1

43.1.1

43.2.1

43.3.1

43.4.1

43.4.2

43.4.3

43.5.1

43.6.1

43.6.2

43.7.1

43.8.1

43.9.1

43.10.1

43.11.1

43.12.1

44.1.1

44.2.1

44.3.1

44.4.1

44.5.1

44.6.1

44.7.1

44.8.1

44.9.1

44.10.1

44.11.1

44.12.1

45.1.1

45.2.1

45.3.1

45.4.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-20184 是一个严重的安全漏洞，影响Cisco Webex Meetings。攻击者可以通过利用证书验证不当，冒充任何用户，获取未经授权的访问权限。受影响的版本包括 39.6–45.4。建议立即采取措施进行修复。

影响与攻击场景

Cisco Webex Meetings 中的 CVE-2026-20184 构成严重风险，因为它可能导致身份冒充。未经身份验证的远程攻击者可能利用 Control Hub 中单点登录 (SSO) 集成的漏洞，冒充服务中的任何用户。CVSS 分数评为 9.8，表明影响严重。根本原因是证书验证不当，允许攻击者提供构造的令牌以获取未经授权的访问权限。由于没有可用的修复程序，情况更加恶化，使组织在实施替代缓解措施之前保持脆弱状态。缺乏官方 Cisco KEV（知识库漏洞条目）进一步阻碍了风险评估和详细信息可用性。

利用背景

攻击者可以通过连接到 Webex 服务端点并提供专门设计的令牌来利用此漏洞。不完善的证书验证允许此欺诈性令牌被接受，从而授予攻击者访问另一个用户帐户的权限。此访问可用于窃取敏感信息、中断会议或损害整个组织的安全性。利用的远程和未经身份验证的性质使其特别危险，因为攻击者可以从任何位置运行，而无需初始凭据。由于缺乏 KEV，因此很难完全理解利用技术，但漏洞描述表明这是一种基于令牌操作的攻击。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告2 份威胁报告

EPSS

0.07% (21% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响total

CVSS 向量

这些指标意味着什么？

Attack Vector: 网络 — 可通过互联网远程利用，无需物理或本地访问。攻击面最大。
Attack Complexity: 低 — 无需特殊条件，可以稳定地利用漏洞。
Privileges Required: 无 — 无需认证，无需凭证即可利用。
User Interaction: 无 — 攻击自动且无声，受害者无需任何操作。
Scope: 未改变 — 影响仅限于脆弱组件本身。
Confidentiality: 高 — 完全丧失机密性，攻击者可读取所有数据。
Integrity: 高 — 攻击者可写入、修改或删除任何数据。
Availability: 高 — 完全崩溃或资源耗尽，完全拒绝服务。

受影响的软件

组件webex-meetings

供应商Cisco

影响范围修复版本

39.7.7 – 39.7.739.7.8

39.9 – 39.939.9.1

40.4.10 – 40.4.1040.4.11

39.6 – 39.639.6.1

40.6.2 – 40.6.240.6.3

39.8.2 – 39.8.239.8.3

39.8.4 – 39.8.439.8.5

40.1 – 40.140.1.1

39.11 – 39.1139.11.1

39.7.4 – 39.7.439.7.5

39.9.1 – 39.9.139.9.2

40.4 – 40.440.4.1

40.6 – 40.640.6.1

39.7 – 39.739.7.1

39.8 – 39.839.8.1

39.8.3 – 39.8.339.8.4

40.2 – 40.240.2.1

39.10 – 39.1039.10.1

42.6 – 42.642.6.1

42.7 – 42.742.7.1

42.8 – 42.842.8.1

42.9 – 42.942.9.1

42.10 – 42.1042.10.1

42.11 – 42.1142.11.1

42.12 – 42.1242.12.1

43.1 – 43.143.1.1

43.2 – 43.243.2.1

43.3 – 43.343.3.1

43.4 – 43.443.4.1

43.4.1 – 43.4.143.4.2

43.4.2 – 43.4.243.4.3

43.5.0 – 43.5.043.5.1

43.6.0 – 43.6.043.6.1

43.6.1 – 43.6.143.6.2

43.7 – 43.743.7.1

43.8 – 43.843.8.1

43.9 – 43.943.9.1

43.10 – 43.1043.10.1

43.11 – 43.1143.11.1

43.12 – 43.1243.12.1

44.1 – 44.144.1.1

44.2 – 44.244.2.1

44.3 – 44.344.3.1

44.4 – 44.444.4.1

44.5 – 44.544.5.1

44.6 – 44.644.6.1

44.7 – 44.744.7.1

44.8 – 44.844.8.1

44.9 – 44.944.9.1

44.10 – 44.1044.10.1

44.11 – 44.1144.11.1

44.12 – 44.1244.12.1

45.1 – 45.145.1.1

45.2 – 45.245.2.1

45.3 – 45.345.3.1

45.4 – 45.445.4.1

弱点分类 (CWE)

CWE-295

时间线

已保留2025-10-08
发布日期2026-04-15
修改日期2026-04-16
EPSS 更新日期2026-04-23

未修复 — 披露已39天

缓解措施和替代方案

由于 Cisco 尚未为 CVE-2026-20184 提供直接修复程序，因此使用 Cisco Webex Meetings 的组织应立即实施缓解措施。我们强烈建议审查并加强 SSO 安全策略，包括为所有用户实施多因素身份验证 (MFA)。此外，密切监控 Webex 审核日志，以查找可疑活动或未经授权的访问尝试。考虑网络隔离以限制对 Control Hub 服务的访问。虽然没有官方解决方案，但实施这些措施可以显着降低被利用的风险。随时关注 Cisco 的公告，并谨慎寻找替代解决方案或非官方补丁。

修复方法翻译中…

Actualice Cisco Webex Meetings a una versión corregida para mitigar la vulnerabilidad de validación de certificados. Consulte la advisory de Cisco (https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-cui-cert-8jSZYhWL) para obtener instrucciones específicas y versiones corregidas.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-20184 是什么 — Cisco Webex Meetings 中的漏洞？

这表明存在高利用可能性和重大影响的关键漏洞。

Cisco Webex Meetings 中的 CVE-2026-20184 是否会影响我？

Cisco 尚未发布此漏洞的修复程序。我们建议监控 Cisco 更新。

如何修复 Cisco Webex Meetings 中的 CVE-2026-20184？

SSO（单点登录）允许用户使用一组凭据访问多个应用程序。此漏洞会影响此过程的安全性。

CVE-2026-20184 是否正在被积极利用？

Control Hub 是 Cisco Webex Services 的集中管理平台。

在哪里可以找到 Cisco Webex Meetings 关于 CVE-2026-20184 的官方安全通告？

审查 Webex SSO 配置并监控审核日志，以查找可疑活动。

你的项目受影响吗?

上传你的依赖文件，立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE