Cisco met en garde contre une vulnérabilité dans l’interface web de Catalyst SD-WAN Manager permettant à un attaquant authentifié disposant de droits d’écriture d’écraser des fichiers arbitraires. La vulnérabilité, identifiée sous la référence CVE-2026-20262, a déjà fait l’objet d’une exploitation limitée. Cisco recommande instamment d’installer les mises à jour disponibles.
Cisco a publié un avis de sécurité concernant une vulnérabilité dans l’interface web de Catalyst SD-WAN Manager. Cette faille permet à un attaquant disposant d’identifiants valides et de droits d’écriture de créer ou d’écraser des fichiers arbitraires sur le système.
Impact et exploitation
La vulnérabilité, identifiée comme CVE-2026-20262, provient d’une validation insuffisante des entrées fournies par l’utilisateur lors du téléchargement de fichiers. Un attaquant peut l’exploiter en envoyant une requête HTTP spécialement conçue vers un point de terminaison d’API vulnérable. En cas d’exploitation réussie, l’attaquant peut créer ou écraser des fichiers sur le système d’exploitation sous-jacent, ce qui peut ultérieurement mener à une escalade de privilèges vers un accès root.
En juin 2026, Cisco a été informé d’une exploitation active limitée de cette vulnérabilité. Les systèmes accessibles via Internet et exposant des ports ouverts sont particulièrement à risque. Cisco souligne qu’il n’existe aucune solution de contournement temporaire et que les clients doivent effectuer la mise à jour vers les versions logicielles corrigées dès que possible.
Solutions et conseils
Cisco a publié des mises à jour logicielles corrigeant cette vulnérabilité. Les versions concernées incluent notamment 20.9.9.2, 20.12.7.2, 20.15.4.5 et 26.1.1.2. Il est conseillé aux clients de consulter la section « Fixed Software » de l’avis pour obtenir la liste complète des mises à jour disponibles.
Pour les organisations ayant des doutes sur une éventuelle compromission, Cisco recommande de vérifier les fichiers journaux pour détecter toute activité suspecte, telle que le téléchargement de fichiers WAR ou le déploiement de code suspect. Les clients peuvent également contacter le Cisco Technical Assistance Center pour obtenir une assistance supplémentaire.