Vulnérabilité zero-day critique dans Cisco Catalyst SD-WAN Manager

Cisco a publié des correctifs pour corriger une vulnérabilité activement exploitée dans son logiciel Catalyst SD-WAN Manager (anciennement vManage). Cette faille permet à des attaquants distants authentifiés d’exécuter des commandes arbitraires avec les privilèges root.

Points clés :

• Impact : La vulnérabilité affecte tous les types de déploiement (sur site, Cloud-Pro, Cloud managé et instances gouvernementales).
• Mécanisme : L’attaque repose sur une validation insuffisante des entrées lors du téléchargement de fichiers. En envoyant des requêtes HTTP spécialement conçues vers une API, un attaquant peut créer ou écraser n’importe quel fichier sur le système, facilitant ainsi une escalade de privilèges.
• Indicateurs de compromission (IOC) : Il est conseillé aux administrateurs de surveiller les journaux (vmanage-server, vmanage-appserver et serviceproxy-access) pour détecter toute tentative de téléchargement de fichiers suspects de type index.jsp ou .war.

Vulnérabilité :

• CVE-2026-20262 : Faille permettant l’exécution de commandes à distance et l’élévation de privilèges en tant que root.

Recommandations :

• Mise à jour immédiate : Cisco exhorte les clients à installer sans délai les versions corrigées listées ci-dessous :
  • 20.9.9.2
  • 20.12.7.2
  • 20.15.4.5
  • 20.15.5.3
  • 20.18.3.1
  • 26.1.1.2
• Audit : Examiner les journaux système à la recherche des fichiers malveillants mentionnés pour vérifier si une compromission a déjà eu lieu.

Source