Cisco heeft beveiligingsupdates uitgebracht voor een middelzware beveiligingsfout in Catalyst SD-WAN Manager die in het wild actief wordt uitgebuit.
De kwetsbaarheid, bijgehouden als CVE-2026-20262heeft een CVSS-score van 6,5 uit 10,0.
“Een kwetsbaarheid in de webinterface van Cisco Catalyst SD-WAN Manager, voorheen SD-WAN vManage, zou een geverifieerde, externe aanvaller in staat kunnen stellen een bestand te maken of een bestand op het bestandssysteem van een getroffen systeem te overschrijven”, aldus Cisco in een advies.
Het probleem, zo voegde het bedrijf voor netwerkapparatuur toe, komt voort uit onvoldoende validatie van door de gebruiker aangeleverde invoer tijdens het uploaden van bestanden. Een aanvaller kan dit gedrag misbruiken om een bestand op het onderliggende besturingssysteem te maken of te overschrijven door vervaardigde HTTP-verzoeken naar een getroffen API-eindpunt te sturen.
Dit zou op zijn beurt kunnen worden bewapend om tot de wortel te verheffen. Succesvolle exploitatie hangt echter af van het feit dat de aanvaller al over geldige inloggegevens beschikt met ten minste schrijftoegang.
Het beveiligingslek heeft gevolgen voor de volgende producten, ongeacht het implementatietype:
- Cisco Catalyst SD-WAN Manager op locatie
- Cisco SD-WAN Cloud-Pro
- Cisco SD-WAN-cloud (Cisco beheerd)
- Cisco SD-WAN voor de overheid (FedRAMP)
Er zijn patches uitgebracht om het probleem op te lossen –
- Cisco Catalyst SD-WAN versie 20.9.9.1 en eerder – opgelost in 20.9.9.2
- Cisco Catalyst SD-WAN versie 20.12.7.1 en eerder – opgelost in 20.12.7.2
- Cisco Catalyst SD-WAN versie 20.15.4.4 en eerder – opgelost in 20.15.4.5
- Cisco Catalyst SD-WAN versie 20.15.5.2 en eerder – opgelost in 20.15.5.3
- Cisco Catalyst SD-WAN versie 20.18.3 – opgelost in 20.18.3.1
- Cisco Catalyst SD-WAN versie 26.1.1.1 en eerder – opgelost in 26.1.1.2
Cisco zei in juni 2026 “zich bewust te zijn geworden van een beperkte exploitatie van dit beveiligingslek”, eraan toevoegend dat het werd ontdekt tijdens interne beveiligingstests.
Het bedrijf heeft ook indicatoren van compromittering gedeeld die verband houden met de kwaadaardige activiteit, en dringt er bij klanten op aan om “/var/log/nms/vmanage-server.log” te controleren op verdachte WAR-bestandsuploads, zoals hieronder –
11-June-2026 03:53:37,310 EDT INFO (a66cdc5f-807d-4c23-944e-5c809a2ece6b) (server) (SdraAnyConnectFileUploadHandler) (default task-40704) |default| uploaded Remote Access Anyconnect profile file: ../../../../var/lib/wildfly/standalone/deployments/suspicious.war to vManage.
Andere indicatoren zijn onder meer pogingen om kwaadaardige code te implementeren en ermee te communiceren, hoewel Cisco heeft gewaarschuwd dat deze mogelijk niet “consequent” in elk incidentlogboek verschijnen. De vervolgactiviteiten met betrekking tot deze kwetsbaarheid zijn:
CVE-2026-20262 is de achtste beveiligingsfout die gevolgen heeft voor Cisco SD-WAN en die alleen al dit jaar als actief wordt geëxploiteerd, na CVE-2026-20245, CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 en CVE-2022-20775. De exploitatie van sommige van deze tekortkomingen wordt toegeschreven aan een geavanceerde persistente dreiging (APT), genaamd UAT-8616.
De ontwikkeling heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe aangezet om de fout toe te voegen aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor de Federal Civilian Executive Branch (FCEB)-agentschappen de oplossingen vóór 29 juni 2026 moeten toepassen.
