Cisco advirtió que una falla de seguridad de alta gravedad que afecta a Catalyst SD-WAN Manager ha sido objeto de explotación activa.
La vulnerabilidad, rastreada como CVE-2026-20245tiene una puntuación CVSS de 7,8 sobre un máximo de 10,0. Afecta a los siguientes tipos de implementación:
- Implementación local
- Cisco SD-WAN Cloud-Pro
- Nube Cisco SD-WAN (administrada por Cisco)
- Cisco SD-WAN para gobierno (FedRAMP)
«Una vulnerabilidad en la CLI de Cisco Catalyst SD-WAN Manager, anteriormente SD-WAN vManage, podría permitir que un atacante local autenticado ejecute comandos arbitrarios como root proporcionando un archivo manipulado al sistema afectado», dijo Cisco en un aviso.
La empresa de seguridad de red dijo que la vulnerabilidad es el resultado de una validación insuficiente de la información proporcionada por el usuario, que un atacante podría explotar cargando un archivo manipulado en el sistema afectado. Esto, a su vez, podría permitir al atacante realizar ataques de inyección de comandos y elevar sus privilegios como usuario root.
«Para explotar esta vulnerabilidad, el atacante debe tener privilegios de administrador de red en el sistema afectado», añadió Cisco. «Esto requeriría credenciales válidas o la explotación de CVE-2026-20182 o CVE-2026-20127. Cisco no tiene conocimiento de una explotación exitosa mediante otros métodos».
CVE-2026-20182 (puntaje CVSS: 10.0) fue revelado el mes pasado por Rapid7, describiéndolo como una omisión de autenticación que podría permitir a atacantes remotos no autenticados obtener privilegios administrativos en sistemas susceptibles. También se considera similar a CVE-2026-20127, otro caso de omisión de autenticación que afecta al mismo componente.
Ambas vulnerabilidades han sido explotadas en estado salvaje como de día cero, con un grupo de actividad de amenazas denominado UAT-8616 vinculado al abuso de CVE-2026-20127 ya en 2023.
En su aviso publicado el jueves, Cisco dijo que observó casos limitados en los que la explotación de CVE-2026-20245 resultó en un cambio de configuración llevado a los dispositivos de borde. Le dio crédito a los investigadores de Google Mandiant Chester Sng, Pete Boonyakarn y Logeswaran Nadarajan por descubrir e informar sobre la nueva vulnerabilidad. Se desconoce quién está detrás de los últimos esfuerzos de explotación.
Actualmente no hay parches ni mitigaciones disponibles para CVE-2026-20245. Se recomienda a los clientes que actualicen su software SD-WAN para asegurarse de haber aplicado las correcciones publicadas para CVE-2026-20182 el 14 de mayo de 2026.
Cisco también advirtió que los sistemas expuestos a Internet corren un mayor riesgo de verse comprometidos. Para buscar indicadores de compromiso (IoC), se recomienda a los usuarios que revisen el archivo «/var/log/scripts.log» para buscar entradas como las siguientes:
Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
Jun 5 13:06:39 Manager vScript: vSmart upload serial numbers: /usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli path /home/admin/vsmart_serial_numbers_safe.csv
Jun 5 13:08:47 Validator vScript: ZTP upload chassis numbers: /usr/bin/vconfd_script_upload_chassis_number_file.sh -cli path /home/admin/chassis_numbers_safe.csvCVE-2026-20245 es la séptima falla que afecta a Cisco SD-WAN y que se marca como explotada activa solo este año después de CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 y CVE-2022-20775.
La divulgación se produce días después de que Cisco abordara otra falla de seguridad de alta gravedad en Unified Communications Manager (CVE-2026-20230, puntuación CVSS: 8,6), para la cual dijo que un código de explotación de prueba de concepto es público. No hay evidencia de que la vulnerabilidad haya sido objeto de explotación activa.