Cisco Catalyst SD-WAN Manager CVE-2026-20262: arbitrary file write con escalation a root, già in KEV

Il PSIRT di Cisco ha confermato uno sfruttamento attivo, seppur limitato, e la CISA ha inserito la CVE nel catalogo KEV il 15 giugno 2026, fissando al 29 giugno 2026 la scadenza di remediation per le agenzie federali statunitensi. Per vManage è il secondo zero-day in poche settimane, come sottolinea SecurityWeek: il CSIRT aveva già trattato la CVE-2026-20245 (command injection sullo stesso prodotto) nel bollettino dell'8 giugno, dopo la CVE-2026-20182 della Catalyst SD-WAN sfruttata da UAT-8616 ad aprile. La piattaforma di gestione centralizzata della WAN si conferma un bersaglio ricorrente, e il punteggio CVSS relativamente contenuto non deve trarre in inganno, vista l'escalation a root e lo sfruttamento in corso.

È interessato chi amministra la rete WAN tramite Cisco Catalyst SD-WAN Manager, scenario tipico di grandi enti, PA e provider: sebbene lo sfruttamento richieda un'utenza autenticata, la combinazione con il furto o l'abuso di credenziali rende l'apparato un punto di compromissione critico dell'intera infrastruttura di rete. Non esistono workaround: l'unica mitigazione è l'aggiornamento.

• Versioni affette: Cisco Catalyst SD-WAN Manager; le versioni esatte e le release correttive sono indicate nella sezione "Fixed Releases" del bollettino di sicurezza Cisco.
• Azione raccomandata: aggiornare alla release corretta indicata da Cisco, entro la scadenza KEV del 29 giugno 2026; limitare l'accesso a web UI e API del SD-WAN Manager e verificare i log per caricamenti di file anomali.

Fonti: ACN, Cisco, CISA, Security Week