Cisco confirma la explotación activa de dos vulnerabilidades de Catalyst SD-WAN Manager
Cisco ha revelado que dos vulnerabilidades más que afectan a Catalyst SD-WAN Manager (anteriormente SD-WAN vManage) han sido explotadas activamente.
Cisco ha revelado que dos vulnerabilidades más que afectan a Catalyst SD-WAN Manager (anteriormente SD-WAN vManage) han sido explotadas activamente.
Las vulnerabilidades en cuestión se enumeran a continuación:
CVE-2026-20122 (puntuación CVSS: 7.1): Una vulnerabilidad de sobrescritura de archivos arbitrarios que podría permitir que un atacante remoto autenticado sobrescriba archivos arbitrarios en el sistema de archivos local. Para explotarla correctamente, el atacante debe tener credenciales válidas de solo lectura con acceso a la API en el sistema afectado.
CVE-2026-20128 (puntuación CVSS: 5,5): Una vulnerabilidad de divulgación de información que podría permitir que un atacante local autenticado obtenga privilegios de usuario del Agente de Recopilación de Datos (DCA) en un sistema afectado. Para explotarla correctamente, el atacante debe tener credenciales válidas de vManage en el sistema afectado.
Cisco lanzó parches para los defectos de seguridad, junto con CVE-2026-20126, CVE-2026-20129 y CVE-2026-20133, a finales del mes pasado en las siguientes versiones:
Anterior a la versión 20.91: migrar a una versión corregida.
Versión 20.9 - Corregido en 20.9.8.2
Versión 20.11 - Corregido en 20.12.6.1
Versión 20.12 - Corregido en 20.12.5.3 y 20.12.6.1
Versión 20.13 - Corregido en 20.15.4.2
Versión 20.14 - Corregido en 20.15.4.2
Versión 20.15 - Corregido en 20.15.4.2
Versión 20.16 - Corregido en 20.18.2.1
Versión 20.18 - Corregido en 20.18.2.1
En marzo de 2026, el equipo de respuesta a incidentes de Cisco (PSIRT) detectó la explotación activa de las vulnerabilidades descritas únicamente en CVE-2026-20128 y CVE-2026-20122, declaró la empresa líder en equipos de red. La compañía no dio más detalles sobre la magnitud de la actividad ni sobre quién podría estar detrás de ella.
En vista de la explotación activa, se recomienda a los usuarios actualizar a una versión de software corregida lo antes posible y tomar medidas para limitar el acceso desde redes no seguras, proteger los dispositivos detrás de un firewall, deshabilitar HTTP para el portal de administrador de la interfaz de usuario web de Catalyst SD-WAN Manager, desactivar los servicios de red como HTTP y FTP si no es necesario, cambiar la contraseña de administrador predeterminada y monitorear el tráfico de registros para detectar cualquier tráfico inesperado hacia y desde los sistemas.
La revelación llega una semana después de que la compañía dijera que una falla de seguridad crítica en Cisco Catalyst SD-WAN Controller y Catalyst SD-WAN Manager ( CVE-2026-20127 , puntaje CVSS: 10.0) ha sido explotada por un actor de amenaza cibernética altamente sofisticado identificado como UAT-8616 para establecer puntos de apoyo persistentes en organizaciones de alto valor.
Esta semana, Cisco también lanzó actualizaciones para abordar dos vulnerabilidades de seguridad de máxima gravedad en Secure Firewall Management Center ( CVE-2026-20079 y CVE-2026-20131 , puntaje CVSS: 10.0) que podrían permitir que un atacante remoto no autenticado eluda la autenticación y ejecute código Java arbitrario como root en un dispositivo afectado.