[TLP:CLEAR] Cisco Catalyst SD-WAN opravuje aktivně zneužívanou zranitelnost

Cisco verzemi 20.9.8.2, 20.12.5.3, 20.12.6.1, 20.15.4.2 a 20.18.2.1 opravuje kritickou a již aktivně zneužívanou zranitelnost v produktech Cisco Catalyst SD-WAN Controller a Cisco Catalyst SD-WAN Manager [1][2]. Cisco Catalyst SD-WAN Controller systémy, které jsou dostupné z internetu a mají otevřené porty, jsou vystaveny riziku kompromitace. Společnost doporučuje provést audit souboru auth.log, který se nachází ve /var/log/auth.log kvůli záznamům souvisejícím s hláškou „Accepted publickey for vmanage-admin“ z neznámých nebo neautorizovaných IP adres. Dále doporučuje porovnat IP adresy z auth.log s nakonfigurovanými System IP, které jsou uvedeny ve webovém rozhraní Cisco Catalyst SD-WAN Manager (WebUI > Devices > System IP) [1].

Cisco Catalyst SD-WAN Controller, Catalyst SD-WAN Manager - authentication bypass (CVE-2026-20127)
CVSS 10.0 (Critical)

Neautentizovanému vzdálenému útočníkovi je umožněno obejít přihlášení a získat administrátorská oprávnění zasláním speciálně vytvořeného požadavku na dotčený systém. Útočník se pak může přihlásit jako interní vysoce privilegovaný uživatel (ne root), využít NETCONF a měnit konfiguraci SD-WAN fabric [1].

Zranitelnost se nachází v produktu Cisco Catalyst SD-WAN ve verzích (>=20.9 AND <20.9.8.2) OR (>=20.11 AND <20.12.6.1) OR (>=20.12.5 AND <20.12.5.3) OR (>=20.12.6 AND <20.12.6.1) OR (>=20.13 AND <20.15.4.2) OR (>=20.14 AND <20.15.4.2) OR (>=20.15 AND <20.15.4.2) OR (>=20.16 AND <20.18.2.1) OR (>=20.18 AND <20.18.2.1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:X/RL:X/RC:X

Více informací:

Zranitelnost byla veřejně oznámena 25. 2. 2026.

Za CESNET-CERTS Michaela Jarošová dne 26. 2. 2026.

CESNET-CERTS Logo