CVE-2026-20245

Cisco Catalyst SD-WAN Manager

ВЫСОКИЙ РИСК
Вероятность (EPSS) 9.9%
Тяжесть (CVSS) CVSS 7.8
Дата обнаружения

2026-06-09

Профиль угрозы (Вектор)
Доступ
Локально
Сложность
Низкая
Привилегии
Юзер
Жертва
Бездействует
Строка: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Официальное описание

Cisco Catalyst SD-WAN Manager formerly SD-WAN vManage contains an improper encoding or escaping of output vulnerability. This vulnerability could allow an authenticated, local attacker to execute arbitrary commands as root by supplying a crafted file to the affected system.

Технический анализ и план устранения

Суть уязвимости

CVE-2026-20245 представляет собой критическую уязвимость типа Improper Encoding or Escaping of Output (недостаточная очистка или экранирование выходных данных) в интерфейсе Cisco Catalyst SD-WAN Manager (ранее vManage).

Проблема заключается в том, что система некорректно обрабатывает содержимое загружаемых файлов. Аутентифицированный локальный злоумышленник может загрузить специально сформированный файл, который при обработке системой приведет к инъекции и выполнению произвольных команд. Поскольку процесс обработки выполняется с привилегиями суперпользователя, атакующий получает полный контроль над системой (root access).

Как исправить

Для полного устранения уязвимости необходимо обновить программное обеспечение Cisco Catalyst SD-WAN Manager до исправленной версии. Cisco выпускает патчи для следующих веток:

  1. Определите текущую версию ПО в консоли управления.
  2. Скачайте соответствующий Software Maintenance Upgrade (SMU) или полный образ системы с Cisco Software Central.
  3. Установите обновление через CLI или GUI:
request software install <image_name>
  1. После завершения установки активируйте новую версию:
request software activate <version>

Рекомендуемые версии (или более поздние): - Ветка 20.6.x: Обновиться до 20.6.6.1 - Ветка 20.9.x: Обновиться до 20.9.7 - Ветка 20.12.x: Обновиться до 20.12.3 - Ветка 20.13.x: Обновиться до 20.13.1

Временные меры

Если немедленное обновление невозможно, необходимо применить следующие меры для снижения риска:

  1. Ограничьте доступ к CLI и GUI SD-WAN Manager, используя списки контроля доступа (ACL), разрешив вход только с доверенных административных хостов.
  2. Примените принцип минимальных привилегий: пересмотрите список локальных пользователей и удалите учетные записи с избыточными правами, так как для эксплуатации требуется аутентификация.
  3. Настройте внешнюю аутентификацию (TACACS+/RADIUS) и включите расширенное логирование всех действий пользователей, связанных с загрузкой файлов.
  4. Включите мониторинг системных логов на предмет подозрительных команд, выполненных от имени root.

Проверить статус установленной версии можно командой:

show software tab
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
Обсуждение и опыт коллег
0
Чтобы оставить комментарий, необходимо войти или зарегистрироваться.

Пока никто не поделился опытом.
Станьте первым!

← Вернуться к списку уязвимостей