📰 Source : SecurityAffairs — Date de publication : 5 juin 2026

Cisco publie une alerte concernant CVE-2026-20245 (score CVSS 7.8), une vulnérabilité d’élévation de privilèges affectant Cisco Catalyst SD-WAN Manager (anciennement SD-WAN vManage). La faille permet à un attaquant local authentifié d’exécuter des commandes arbitraires en tant que root via une injection de commande par upload de fichier.

🔍 Mécanisme d’exploitation :

  • La vulnérabilité est due à une validation insuffisante des entrées utilisateur
  • L’attaquant doit disposer de privilèges netadmin sur le système cible
  • Ces privilèges peuvent être obtenus via des identifiants volés ou en chaînant l’exploitation de CVE-2026-20182 ou CVE-2026-20127
  • L’exploitation peut entraîner des modifications de configuration poussées vers les équipements edge

🌐 Périmètre affecté :

  • Déploiements on-premises
  • Cisco SD-WAN Cloud-Pro
  • Déploiements cloud gérés par Cisco
  • Environnements FedRAMP

⚠️ Statut correctif : Aucun patch ni contournement disponible. Cisco indique qu’un correctif est documenté dans l’advisory du 14 mai, mais précise qu’appliquer la mise à jour sur un système déjà compromis ne suffit pas à l’assainir.

🔎 Détection : Vérifier le fichier scripts.log dans /var/log/ pour des entrées référençant vconfd_script_upload_tenant_list.sh. Ces entrées peuvent être légitimes et nécessitent une comparaison avec une baseline.

📋 Contexte KEV : En février, la CISA avait ajouté deux failles Cisco SD-WAN à son catalogue KEV : CVE-2022-20775 (Path Traversal) et CVE-2026-20127 (Authentication Bypass).

📌 Cet article est une alerte de sécurité visant à informer les opérateurs de Cisco Catalyst SD-WAN Manager de l’existence d’une vulnérabilité critique non corrigée et des mesures de détection disponibles.

🧠 TTPs et IOCs détectés

TTP

  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1608.001 — Stage Capabilities: Upload Malware (Resource Development)

IOC

  • CVEs : CVE-2026-20245NVD · CIRCL
  • CVEs : CVE-2026-20182NVD · CIRCL
  • CVEs : CVE-2026-20127NVD · CIRCL
  • CVEs : CVE-2022-20775NVD · CIRCL
  • Fichiers : vconfd_script_upload_tenant_list.sh
  • Chemins : /var/log/scripts.log

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ securityaffairs.com — source non référencée (0pts)
  • ✅ 5060 chars — texte complet (15pts)
  • ✅ 6 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/4 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://securityaffairs.com/193203/security/cisco-sd-wan-has-a-new-root-level-problem-and-theres-no-fix-yet.html

🖴 Archive : https://web.archive.org/web/20260611143706/https://securityaffairs.com/193203/security/cisco-sd-wan-has-a-new-root-level-problem-and-theres-no-fix-yet.html