
Cisco修复SD-WAN Manager在野利用漏洞
Cisco 已为 Catalyst SD-WAN Manager 的中危漏洞 CVE-2026-20262 发布安全更新。该缺陷可被已认证、具写权限的远程攻击者借助伪造 HTTP 请求创建或覆盖文件,进而可能提权至 root。受影响产品包括多种 SD-WAN 部署类型;Cisco 还公布了 IOC,并建议检查相关日志,CISA 已将其列入 KEV。
Cisco 已为 Catalyst SD-WAN Manager 中一个中等严重度的安全漏洞发布安全更新,该漏洞目前已在野外遭到主动利用。
该漏洞编号为 CVE-2026-20262,CVSS 评分为 6.5/10.0。
Cisco 在公告中表示:“Cisco Catalyst SD-WAN Manager(前称 SD-WAN vManage)web UI 中存在一个漏洞,可能允许已认证的远程攻击者在受影响系统的文件系统上创建文件或覆盖任意文件。”
这家网络设备公司补充说,问题源于文件上传过程中对用户提供输入的验证不足。攻击者可以向受影响的 API 端点发送特制 HTTP 请求,利用这一行为在底层操作系统上创建或覆盖任意文件。
这反过来可被武器化,用于提升至 root。不过,成功利用取决于攻击者已经拥有有效凭据,且至少具备写入权限。
该漏洞影响以下产品,不论部署类型:
Cisco Catalyst SD-WAN Manager On-Prem
Cisco SD-WAN Cloud-Pro
Cisco SD-WAN Cloud (Cisco Managed)
Cisco SD-WAN for Government (FedRAMP)
Cisco 已发布补丁修复该问题:
Cisco Catalyst SD-WAN Release 20.9.9.1 及更早版本 - 在 20.9.9.2 中修复
Cisco Catalyst SD-WAN Release 20.12.7.1 及更早版本 - 在 20.12.7.2 中修复
Cisco Catalyst SD-WAN Release 20.15.4.4 及更早版本 - 在 20.15.4.5 中修复
Cisco Catalyst SD-WAN Release 20.15.5.2 及更早版本 - 在 20.15.5.3 中修复
Cisco Catalyst SD-WAN Release 20.18.3 - 在 20.18.3.1 中修复
Cisco Catalyst SD-WAN Release 26.1.1.1 及更早版本 - 在 26.1.1.2 中修复
Cisco 表示,其在 2026 年 6 月“获悉该漏洞存在有限度的利用”,并补充称该漏洞是在内部安全测试期间发现的。
该公司还分享了与恶意活动相关的入侵指标(IOC),并敦促客户检查 "/var/log/nms/vmanage-server.log",查找如下可疑 WAR 文件上传记录:
11-June-2026 03:53:37,310 EDT INFO [a66cdc5f-807d-4c23-944e-5c809a2ece6b] [server] [SdraAnyConnectFileUploadHandler] (default task-40704) |default| uploaded Remote Access Anyconnect profile file: ../../../../var/lib/wildfly/standalone/deployments/suspicious.war to vManage.
其他指标包括尝试部署恶意代码并与其交互,但 Cisco 警告称,这些迹象可能不会“稳定出现在”每一份事件日志中。与该漏洞相关的后续活动如下:
/var/log/nms/vmanage-appserver.log: 11-June-2026 07:52:55,275 UTC INFO [server] (DeploymentScanner-threads - 2) WFLYSRV0010: Deployed "suspicious.war" (runtime-name : "suspicious.war")
11-June-2026 07:52:55,275 UTC INFO [server] (DeploymentScanner-threads - 2) WFLYSRV0010: Deployed "suspicious.war" (runtime-name : "suspicious.war")
/var/log/nms/containers/service-proxy/serviceproxy-access.log: [2026-06-11T07:57:33.635Z] "POST /suspicious/index.jsp HTTP/1.1" 200 - 267 76 17 - "1.1.1.54" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0" "d7336b83-422b-4000-93e1-0296f102bbed" "1.1.1.4:8443" "127.0.0.1:8080"
[2026-06-11T07:57:33.635Z] "POST /suspicious/index.jsp HTTP/1.1" 200 - 267 76 17 - "1.1.1.54" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0" "d7336b83-422b-4000-93e1-0296f102bbed" "1.1.1.4:8443" "127.0.0.1:8080"
CVE-2026-20262 是今年第八个被标记为在野外主动利用的、影响 Cisco SD-WAN 的安全漏洞,此前包括 CVE-2026-20245、CVE-2026-20182、CVE-2026-20127、CVE-2026-20122、CVE-2026-20128、CVE-2026-20133 和 CVE-2022-20775。部分漏洞的利用已被归因于一个名为 UAT-8616 的高级持续性威胁(APT)行为者。
这一进展促使美国网络安全和基础设施安全局(CISA)将该漏洞加入其 Known Exploited Vulnerabilities(KEV)目录,要求联邦民事行政部门(FCEB)机构在 2026 年 6 月 29 日前应用修复。