Cisco ha revelado que dos vulnerabilidades más que afectan a Catalyst SD-WAN Manager (anteriormente SD-WAN vManage) han sido explotadas activamente en la naturaleza.
Las vulnerabilidades en cuestión se enumeran a continuación:
- CVE-2026-20122 (Puntuación CVSS: 7,1): una vulnerabilidad de sobrescritura de archivos arbitraria que podría permitir a un atacante remoto autenticado sobrescribir archivos arbitrarios en el sistema de archivos local. La explotación exitosa requiere que el atacante tenga credenciales válidas de solo lectura con acceso API en el sistema afectado.
- CVE-2026-20128 (Puntuación CVSS: 5,5): una vulnerabilidad de divulgación de información que podría permitir a un atacante local autenticado obtener privilegios de usuario del Agente de recopilación de datos (DCA) en un sistema afectado. La explotación exitosa requiere que el atacante tenga credenciales de vManage válidas en el sistema afectado.
Cisco lanzó los parches para los defectos de seguridad, junto con CVE-2026-20126, CVE-2026-20129 y CVE-2026-20133, a fines del mes pasado en las siguientes versiones:
- Anterior a la versión 20.91: migre a una versión fija.
- Versión 20.9 – Corregido en 20.9.8.2
- Versión 20.11 – Corregido en 20.12.6.1
- Versión 20.12: corregida en 20.12.5.3 y 20.12.6.1
- Versión 20.13 – Corregido en 20.15.4.2
- Versión 20.14 – Corregido en 20.15.4.2
- Versión 20.15 – Corregido en 20.15.4.2
- Versión 20.16 – Corregido en 20.18.2.1
- Versión 20.18 – Corregido en 20.18.2.1
«En marzo de 2026, Cisco PSIRT se dio cuenta de la explotación activa de las vulnerabilidades que se describen únicamente en CVE-2026-20128 y CVE-2026-20122», dijo el especialista en equipos de redes. La empresa no dio más detalles sobre la escala de la actividad y quién podría estar detrás de ella.
A la luz de la explotación activa, se recomienda a los usuarios actualizar a una versión de software fija lo antes posible y tomar medidas para limitar el acceso desde redes no seguras, proteger los dispositivos detrás de un firewall, deshabilitar HTTP para el portal de administrador de la interfaz de usuario web de Catalyst SD-WAN Manager, desactivar servicios de red como HTTP y FTP si no son necesarios, cambiar la contraseña de administrador predeterminada y monitorear el tráfico de registro para detectar cualquier tráfico inesperado hacia y desde los sistemas.
La divulgación se produce una semana después de que la compañía dijera que una falla de seguridad crítica en Cisco Catalyst SD-WAN Controller y Catalyst SD-WAN Manager (CVE-2026-20127, puntuación CVSS: 10.0) había sido explotada por un actor de amenazas cibernéticas altamente sofisticado rastreado como UAT-8616 para establecer puntos de apoyo persistentes en organizaciones de alto valor.
Esta semana, Cisco también lanzó actualizaciones para abordar dos vulnerabilidades de seguridad de máxima gravedad en Secure Firewall Management Center (CVE-2026-20079 y CVE-2026-20131, puntuaciones CVSS: 10.0) que podrían permitir a un atacante remoto no autenticado evitar la autenticación y ejecutar código Java arbitrario como root en un dispositivo afectado.