Cisco a publié des correctifs de sécurité pour une faille critique dans le logiciel Catalyst SD-WAN Manager. Identifiée sous la référence CVE-2026-20262, cette vulnérabilité a été exploitée par des attaquants pour obtenir des privilèges d’administrateur système.
Anciennement appelé SD-WAN vManage, ce logiciel de gestion réseau centralisée permet aux administrateurs de superviser jusqu’à 6000 appareils depuis un seul tableau de bord.
Cette faille, qualifiée de zero-day car exploitée avant la disponibilité d’un correctif, concerne tous les types de déploiement du logiciel, qu’il soit installé sur site ou hébergé dans le cloud.
Cisco a expliqué que le problème provient d’une validation insuffisante des données envoyées par les utilisateurs lors de téléchargements de fichiers. Cette erreur permet à un attaquant disposant d’un accès à faible privilège d’exécuter des commandes arbitraires avec les droits les plus élevés. Pour ce faire, il lui suffit d’envoyer une requête HTTP spécialement conçue à un point d’accès API vulnérable.
L’entreprise a déclaré que son Product Security Incident Response Team (PSIRT) avait pris connaissance de ces exploitations actives au début du mois de juillet. Elle exhorte ses clients à appliquer les mises à jour de sécurité disponibles.
| Version de Cisco Catalyst SD-WAN | Première version corrigée |
|---|---|
| 20.9.9.1 et antérieures | 20.9.9.2 |
| 20.12.7.1 et antérieures | 20.12.7.2 |
| 20.15.4.4 et antérieures | 20.15.4.5 |
| 20.15.5.2 et antérieures | 20.15.5.3 |
| 20.18.3 | 20.18.3.1 |
| 26.1.1.1 et antérieures | 26.1.1.2 |
Cisco a partagé des indicateurs de compromission pour aider les administrateurs à détecter les attaques. Il leur est conseillé d’examiner les journaux de leurs serveurs SD-WAN vManage pour rechercher des tentatives de téléchargement de fichiers index.jsp ou .war.
Ce n’est pas la première fois que ce produit est visé. En février, l’entreprise avait corrigé une autre vulnérabilité, référencée CVE-2026-20133, qui a été exploitée activement fin avril. Deux semaines plus tard, deux autres failles, CVE-2026-20128 et CVE-2026-20122, subissaient le même sort.
En juin, Cisco avait aussi averti d’un zero-day non corrigé dans le Catalyst SD-WAN Controller, qui permettait aux attaquants d’obtenir des privilèges d’administration. Enfin, au début du même mois, une autre vulnérabilité zero-day dans le Catalyst SD-WAN Manager avait été exploitée.
Sur les dernières années, l’agence américaine Cybersecurity and Infrastructure Security Agency (CISA) a répertorié 91 failles Cisco exploitées dans la nature, dont cinq concernaient spécifiquement le Catalyst SD-WAN Manager.