Nach Angaben von Cisco sitzt das Problem in der Web-Oberfläche von Catalyst SD-WAN Manager. Die Schwachstelle erlaubt es einem authentifizierten Angreifer, aus der Ferne beliebige Dateien auf dem zugrunde liegenden Betriebssystem zu erzeugen oder zu überschreiben. Grundlage dafür ist laut Hersteller eine mangelhafte Prüfung von Eingaben im Upload-Prozess.
Ausgenutzt wird die Lücke über speziell präparierte HTTP-Anfragen an einen verwundbaren API-Endpunkt. Cisco weist darauf hin, dass sich das Verhalten anschließend für eine Eskalation der Rechte bis auf Root-Ebene nutzen lässt. Für einen erfolgreichen Angriff sind jedoch bereits gültige Anmeldedaten erforderlich, die mindestens Schreibzugriff gewähren.
Cisco hat Patches für die betroffenen Produkte bereitgestellt und erklärt, man habe im Juni 2026 von einer begrenzten Ausnutzung der Schwachstelle erfahren. Entdeckt wurde das Problem laut Unternehmen im Rahmen interner Sicherheitstests.
Zusätzlich hat Cisco Indikatoren für eine Kompromittierung veröffentlicht. Kunden sollen insbesondere die Datei “/var/log/nms/vmanage-server.log” auf verdächtige Uploads von WAR-Dateien prüfen. Darüber hinaus nennt der Hersteller weitere Anzeichen, darunter Versuche, bösartigen Code bereitzustellen und mit ihm zu interagieren. Diese Spuren erscheinen nach Warnung von Cisco jedoch nicht in jedem Vorfallsprotokoll durchgängig.
CVE-2026-20262 ist bereits die achte Sicherheitslücke in Cisco SD-WAN, die in diesem Jahr als aktiv ausgenutzt markiert wurde. Zuvor betraf das CVE-2026-20245, CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 und CVE-2022-20775. Die Ausnutzung einiger dieser Schwachstellen wurde dem Advanced-Persistent-Threat-Akteur UAT-8616 zugeschrieben.
Die Entwicklung hat zudem die US-Behörde CISA veranlasst, die Lücke in ihren Katalog der bekannten ausgenutzten Schwachstellen aufzunehmen. Für Behörden der Federal Civilian Executive Branch gilt damit die Vorgabe, die bereitgestellten Korrekturen bis zum 29. Juni 2026 einzuspielen.