CVE-2026-20122

Суть уязвимости

CVE-2026-20122 представляет собой критическую уязвимость в API-интерфейсе Cisco Catalyst SD-WAN Manager (ранее vManage), связанную с некорректным использованием привилегированных API и ошибками при обработке файлов. Из-за отсутствия надлежащей проверки путей и ограничений на запись, аутентифицированный злоумышленник может загрузить специально сформированный файл в локальную файловую систему. Это позволяет перезаписывать произвольные системные файлы и выполнять действия с правами пользователя vmanage, что ведет к полной компрометации целостности системы и потенциальному повышению привилегий.

Как исправить

Для устранения уязвимости необходимо обновить программное обеспечение Cisco Catalyst SD-WAN Manager до исправленной версии. Cisco выпускает патчи для соответствующих веток программного обеспечения.

1. Определите текущую версию системы:

show version

1. Загрузите исправленный образ (Software Maintenance Upgrade или полноценный релиз) с Cisco Software Central.

2. Установите обновление через CLI или GUI:

request software install <image_name>

1. После установки активируйте новую версию:

request software activate <version>

1. Подтвердите успешную установку:

show software

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки и ограничить доступ к API.

1. Настройте списки контроля доступа (ACL) для ограничения доступа к интерфейсу управления vManage только для доверенных IP-адресов администраторов:

policy access-list <name> sequence 10 permit tcp source <admin_ip> destination-port 443

1. Включите и настройте детальное логирование всех операций записи через API для обнаружения попыток эксплуатации:

logging level api debug

1. Проверьте наличие подозрительных файлов в директориях временной загрузки и системных путях:

vshell
ls -laR /tmp/
exit

1. Используйте внешнюю аутентификацию (TACACS+/RADIUS) и примените принцип наименьших привилегий, ограничив количество пользователей с правами на запись и доступ к API.