Cisco ha reportado una vulnerabilidad crítica en Cisco Catalyst SD-WAN Manager (vManage), actualmente explotada en ataques de día cero. La falla, clasificada como escritura arbitraria de archivos en la interfaz web de administración, permite a atacantescon acceso de escritura y credenciales válidas subir archivos maliciosos al sistema operativo subyacente. Aunque el puntaje CVSS es 6.5, el riesgo se agrava por la capacidad de escalar privilegios a nivel root y desplegar cargas útiles como shells web. Cisco confirmó explotación limitada en entornos reales desde junio de 2026, afectando todas las modalidades de despliegue, incluyendo entornos en la nube y on-premises.
CVE y severidad
CVE-2026-20262 (CVSS: 6.5): Vulnerabilidad de escritura arbitraria de archivos en la interfaz web de administración, explotada activamente. Requiere acceso de escritura y credenciales válidas para subir archivos maliciosos al sistema operativo. No hay mitigaciones alternativas disponibles.
Productos afectados
| Fabricante | Producto | Versiones afectadas | Plataformas/SO |
|---|---|---|---|
| Cisco | Catalyst SD-WAN Manager (vManage) | 20.9.9.1 y anteriores, 20.12.7.1 y anteriores, 20.15.4.4 y anteriores, 20.15.5.2 y anteriores, 20.18.3 y anteriores, 26.1.1.1 y anteriores | On-premises, Cisco SD-WAN Cloud, Cloud-Pro, FedRAMP |
Solución
Actualizar a las versiones corregidas según el despliegue: 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1 o 26.1.1.2.
Recomendaciones
Priorizar la actualización en un horario de mantenimiento. Restringir el acceso externo a las interfaces de gestión y monitorear los logs (vmanage-server.log, vmanage-appserver.log, serviceproxy-access.log) en busca de actividades sospechosas, como subidas de archivos no autorizados o solicitudes HTTP POST a endpoints maliciosos. Cisco recomienda usar el comando request admin-tech para recopilar datos diagnósticos antes de contactar al Cisco TAC en caso de incidente.