In einem Sicherheitshinweis beschreibt Cisco CVE-2026-20245 als Schwachstelle in der Befehlszeilenschnittstelle von Cisco Catalyst SD-WAN Manager. Durch eine präparierte Datei könne ein authentifizierter lokaler Angreifer auf dem betroffenen System beliebige Befehle als Root ausführen. Ursache sei eine unzureichende Validierung von durch Nutzer gelieferten Eingaben, was Kommandoinjektionen und eine Rechteausweitung bis auf Root-Ebene ermögliche.

Für eine erfolgreiche Ausnutzung muss der Angreifer laut Cisco über Netadmin-Rechte auf dem betroffenen System verfügen. Das setze entweder gültige Zugangsdaten voraus oder die Ausnutzung von CVE-2026-20182 oder CVE-2026-20127. Cisco erklärte, dem Unternehmen seien keine erfolgreichen Ausnutzungen über andere Methoden bekannt.

CVE-2026-20182 mit einem CVSS-Wert von 10,0 wurde im vergangenen Monat von Rapid7 veröffentlicht. Rapid7 beschrieb die Lücke als Authentifizierungsumgehung, über die nicht authentifizierte Angreifer aus der Ferne Administratorrechte auf anfälligen Systemen erlangen könnten. Cisco stuft sie zudem als ähnlich zu CVE-2026-20127 ein, einem weiteren Fall einer Authentifizierungsumgehung im selben Bestandteil.

Beide Schwachstellen wurden bereits als Zero-Days in freier Wildbahn ausgenutzt. Mit dem Missbrauch von CVE-2026-20127 bringt der Quelltext einen Bedrohungscluster namens UAT-8616 in Verbindung, und zwar bis zurück ins Jahr 2023.

In dem am Donnerstag veröffentlichten Hinweis teilte Cisco mit, man habe begrenzte Fälle beobachtet, in denen die Ausnutzung von CVE-2026-20245 dazu führte, dass eine Konfigurationsänderung auf Edge-Geräte übertragen wurde. Wer hinter den aktuellen Ausnutzungsversuchen steckt, ist laut Cisco unbekannt. Die Entdeckung und Meldung der neuen Lücke schreibt das Unternehmen den Google-Mandiant-Forschern Chester Sng, Pete Boonyakarn und Logeswaran Nadarajan zu.

Für CVE-2026-20245 gibt es derzeit weder Patches noch Gegenmaßnahmen. Cisco empfiehlt Kunden jedoch, ihre SD-WAN-Software zu aktualisieren, damit die am 14. Mai 2026 veröffentlichten Korrekturen für CVE-2026-20182 eingespielt sind. Zudem warnt der Hersteller, dass direkt aus dem Internet erreichbare Systeme einem erhöhten Kompromittierungsrisiko ausgesetzt sind. Zur Suche nach Kompromittierungsindikatoren sollen Anwender die Datei “/var/log/scripts.log” auf entsprechende Einträge prüfen.

CVE-2026-20245 ist bereits die siebte Schwachstelle in Cisco SD-WAN, die in diesem Jahr als aktiv ausgenutzt markiert wurde. Zuvor betraf das CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 und CVE-2022-20775.

Die Offenlegung folgt nur wenige Tage auf einen weiteren von Cisco behobenen schwerwiegenden Fehler in Unified Communications Manager, CVE-2026-20230 mit einem CVSS-Wert von 8,6. Dafür ist nach Angaben des Unternehmens Proof-of-Concept-Exploit-Code öffentlich verfügbar. Hinweise auf eine aktive Ausnutzung dieser Schwachstelle liegen Cisco zufolge jedoch nicht vor.