CVE-2026-20133

Суть уязвимости

CVE-2026-20133 представляет собой критическую брешь в системе безопасности Cisco Catalyst SD-WAN Manager (ранее vManage), связанную с раскрытием конфиденциальной информации неавторизованным лицам. Уязвимость возникает из-за некорректного разграничения прав доступа к определенным API-эндпоинтам или системным логам. Удаленный злоумышленник, не имея учетных данных, может отправить специально сформированный запрос к интерфейсу управления и получить доступ к чувствительным данным, таким как конфигурационные файлы, токены сессий или параметры сетевой топологии.

Как исправить

Основным способом устранения уязвимости является обновление программного обеспечения Cisco Catalyst SD-WAN Manager до исправленной версии.

Проверьте текущую версию системы:

show version

Загрузите исправленный образ (Software Maintenance Upgrade или полноценный Release) с Cisco Software Central и выполните установку:

request software install <image_name>

После завершения установки активируйте новую версию:

request software activate <version>

Для кластерных конфигураций необходимо последовательно обновить все узлы управления, начиная с ведомых (Standby) и заканчивая ведущим (Leader).

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих шагов:

Ограничьте доступ к интерфейсу управления (GUI и API) с помощью списков контроля доступа (ACL), разрешив подключения только с доверенных IP-адресов администраторов:

policy access-list <ACL_NAME> sequence 10 action accept source-ip <ADMIN_IP>/32

Настройте Control Plane Policing (CoPP) для фильтрации входящего трафика на портах 443 и 8443.

Отключите неиспользуемые сервисы и публичный доступ к портам управления на внешних интерфейсах.

Включите расширенное логирование и мониторинг HTTP-запросов для обнаружения аномальной активности и попыток обращения к системным путям:

debug http all