Cisco is met een beveiligingsupdate gekomen voor een actief misbruikte kwetsbaarheid in de Catalyst SD-WAN Manager waardoor een geauthenticeerde aanvaller root kan worden. Het probleem (CVE-2026-20262) wordt veroorzaakt doordat de software gebruikersinvoer tijdens het uploaden van een bestand niet goed valideert. Een aanvaller kan door middel van een speciaal geprepareerd HTTP request elk willekeurig bestand op het onderliggende besturingssysteem overschrijven of aanmaken en zo root worden.

Voorwaarde voor misbruik is wel dat een aanvaller geauthenticeerd is en dus toegang tot het systeem heeft. De afgelopen maanden zijn er verschillende actief misbruikte kwetsbaarheden in de Cisco Catalyst SD-WAN Manager gevonden die dit mogelijk maken. Cisco meldt dat het deze maand bekend werd met 'beperkt misbruik' van het beveiligingslek, maar geeft geen verdere details. Het netwerkbedrijf voegt toe dat Cisco Catalyst SD-WAN Manager systemen die blootgesteld zijn aan het internet en waarvan de poorten toegankelijk zijn risico lopen om gehackt te worden.

De Cisco Catalyst SD-WAN Manager is een oplossing waarmee organisaties Cisco SD-WAN kunnen uitrollen, configureren en beheren. SD-WAN staat voor Software-Defined Wide Area Network en is een oplossing waarmee organisaties netwerkinfrastructuur en -connectiviteit op meerdere locaties kunnen beheren. Securitybedrijf Rapid7 waarschuwde onlangs dat SD-WAN-omgevingen interessant zijn voor aanvallers, omdat ze zo verkeer van de aangevallen organisatie kunnen herrouteren, communicatie onderscheppen en malafide configuraties doorvoeren.