Cisco ha publicado actualizaciones de seguridad para una falla de seguridad de gravedad media en Catalyst SD-WAN Manager que ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2026-20262tiene una puntuación CVSS de 6,5 sobre 10,0.
«Una vulnerabilidad en la interfaz de usuario web de Cisco Catalyst SD-WAN Manager, anteriormente SD-WAN vManage, podría permitir a un atacante remoto autenticado crear un archivo o sobrescribir cualquier archivo en el sistema de archivos de un sistema afectado», Cisco dicho en un aviso.
El problema, añadió la empresa de equipos de red, se debe a una validación inadecuada de los datos proporcionados por el usuario durante el proceso de carga de archivos. Un atacante podría aprovechar este comportamiento para crear o sobrescribir cualquier archivo en el sistema operativo subyacente enviando solicitudes HTTP diseñadas a un punto final API afectado.
Esto, a su vez, podría convertirse en un arma para llegar a la raíz. Sin embargo, una explotación exitosa depende de que el atacante ya tenga credenciales válidas con al menos acceso de escritura.
La vulnerabilidad afecta a los siguientes productos independientemente del tipo de implementación:
- Cisco Catalyst SD-WAN Manager local
- Cisco SD-WAN Cloud-Pro
- Nube Cisco SD-WAN (administrada por Cisco)
- Cisco SD-WAN para gobierno (FedRAMP)
Se han lanzado parches para solucionar el problema.
- Cisco Catalyst SD-WAN versión 20.9.9.1 y anteriores: corregido en 20.9.9.2
- Cisco Catalyst SD-WAN versión 20.12.7.1 y anteriores: corregido en 20.12.7.2
- Cisco Catalyst SD-WAN versión 20.15.4.4 y anteriores: corregido en 20.15.4.5
- Cisco Catalyst SD-WAN versión 20.15.5.2 y anteriores: corregido en 20.15.5.3
- Cisco Catalyst SD-WAN versión 20.18.3: corregido en 20.18.3.1
- Cisco Catalyst SD-WAN versión 26.1.1.1 y anteriores: corregido en 26.1.1.2
Cisco dijo que «se dio cuenta de la explotación limitada de esta vulnerabilidad» en junio de 2026, y agregó que fue descubierta durante las pruebas de seguridad internas.
La compañía también ha compartido indicadores de compromiso asociados con la actividad maliciosa, instando a los clientes a auditar «/var/log/nms/vmanage-server.log» para detectar cargas de archivos WAR sospechosos como se muestra a continuación:
11-June-2026 03:53:37,310 EDT INFO [a66cdc5f-807d-4c23-944e-5c809a2ece6b] [server] [SdraAnyConnectFileUploadHandler] (default task-40704) |default| uploaded Remote Access Anyconnect profile file: ../../../../var/lib/wildfly/standalone/deployments/suspicious.war to vManage.
Otros indicadores incluyen intentos de implementar código malicioso e interactuar con él, aunque Cisco advirtió que es posible que no «aparezcan consistentemente» en todos los registros de incidentes. Las actividades de seguimiento relacionadas con esta vulnerabilidad son:
CVE-2026-20262 es la octava falla de seguridad que afecta a Cisco SD-WAN y que se marca como explotada activamente solo este año después de CVE-2026-20245, CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128. CVE-2026-20133 y CVE-2022-20775. La explotación de algunas de estas fallas se ha atribuido a un actor de amenaza persistente avanzada (APT) llamado UAT-8616.
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar la falla de sus vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 29 de junio de 2026.
