Aktywnie wykorzystywana w atakach
Cisco Catalyst SD-WAN Manager Directory or Path Traversal Vulnerability
Cisco — Catalyst SD-WAN Manager · Figuruje w katalogu CISA KEV od 2026-06-15. Oznacza to potwierdzone ataki w środowisku produkcyjnym.
Wymagane działanie: Apply mitigations in accordance with vendor instructions, ensuring compliance with CISA’s BOD 26-04 Prioritizing Security Updates Based on Risk (see URL in Notes) guidance and CISA’s “Forensics Triage Requirements” (see URL in Notes). Follow applicable BOD 26-04 guidance for cloud services or discontinue use of the product if mitigations are unavailable. Stakeholders are responsible for evaluating each asset's internet exposure and ensuring adherence to BOD 26-04 patching guidelines.
CVE-2026-20262
ŚrednieCVSS 6.5KEVPrawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 63 — wyżej niż 63% wszystkich znanych CVE
Streszczenie
Podatność w interfejsie webowym Cisco Catalyst SD-WAN Manager umożliwia uwierzytelnionemu, zdalnemu atakującemu tworzenie lub nadpisywanie plików w systemie plików. Wykorzystanie tej podatności wymaga wysłania odpowiednio skonstruowanego żądania HTTP do punktu końcowego API.
Ocena ryzyka
Atakujący z ważnymi poświadczeniami może uzyskać dostęp do systemu operacyjnego, co może prowadzić do eskalacji uprawnień do poziomu root. To stwarza poważne zagrożenie dla integralności i bezpieczeństwa systemu.
Rekomendacja
Zaleca się monitorowanie i ograniczenie dostępu do interfejsu webowego oraz wprowadzenie dodatkowych mechanizmów walidacji danych wejściowych podczas przesyłania plików. Należy również regularnie aktualizować oprogramowanie, aby zminimalizować ryzyko.
Oryginalny opis (angielski, źródło NVD)
A vulnerability in the web UI of Cisco Catalyst SD-WAN Manager, formerly SD-WAN vManage, could allow an authenticated, remote attacker to create a file or overwrite any file on the filesystem of an affected system. This vulnerability exists because the affected software does not properly validate user-supplied input during a file upload process. An attacker could exploit this vulnerability by sending a crafted HTTP request to an affected API endpoint of the affected system. A successful exploit could allow the attacker to create or overwrite any file on the underlying operating system. This file could later be used to elevate to root. To exploit this vulnerability, the attacker must have valid credentials with at least a lower-privileged, single-task user account.

