Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Cisco Catalyst SD-WAN Controller y Manager

Fecha de publicación 26/02/2026
Identificador
INCIBE-2026-144
Importancia
5 - Crítica
Recursos Afectados

Cisco Catalyst SD-WAN Controller, versiones:

  • 20.9 y anteriores;
  • 20.11;
  • 20.12.5 y 20.12.6;
  • 20.13;
  • 20.14;
  • 20.15;
  • 20.16;
  • 20.18.
Descripción

Cisco ha publicado 6 vulnerabilidades: 2 de severidad crítica, 3 altas, y 1 media. La explotación de estas vulnerabilidades podría permitir a un atacante eludir la autenticación, realizar una escalada de privilegios, obtener acceso a información confidencial, o sobrescribir archivos arbitrarios.

Solución

Las vulnerabilidades se han solucionado en las siguientes versiones:

  • para las versiones anteriores a la 20.9: migrar a una versión fija que contenga las correcciones.
  • para la versión 20.9: actualizar a la versión 20.9.8.2 (se estima su lanzamiento para el 27/02/2026).
  • para la versión 20.11:  actualizar a la versión 20.12.6.1.
  • para la versión 20.12.5 y 20.12.6:  actualizar a la versión 20.12.5.3 y 20.12.6.1.
  • para la versión 20.13: actualizar a la versión 20.15.4.2.
  • para la versión 20.14: actualizar a la versión 20.15.4.2.
  • para la versión 20.15: actualizar a la versión 20.15.4.2.
  • para la versión 20.16: actualizar a la versión 20.18.2.1.
  • para la versión 20.18: actualizar a la versión 20.18.2.1.

Se recomienda revisar las versiones que hayan llegado al final de su mantenimiento para que actualizan a una versión con soporte.

Detalle
  • CVE-2026-20127: vulnerabilidad en el mecanismo de autenticación de pares de los componentes Cisco Catalyst SD-WAN podría permitir a un atacante remoto, no autenticado, eludir la autenticación y obtener acceso administrativo a un sistema afectado. El problema se debe a un fallo en la implementación de dicho mecanismo, que puede ser explotado mediante el envío de solicitudes especialmente diseñadas. Una explotación exitosa permitiría al atacante autenticarse en un Cisco Catalyst SD-WAN Controller utilizando una cuenta interna con privilegios elevados, aunque sin privilegios de root, y acceder a la interfaz NETCONF para modificar la configuración de la infraestructura SD-WAN. Cisco tiene constancia de que está vulnerabilidad está siendo explotada.
  • CVE-2026-20129: vulnerabilidad en la autenticación de usuarios de la API de Cisco Catalyst SD-WAN Manager podría permitir a un atacante remoto no autenticado obtener acceso a un sistema afectado con el rol netadmin. El fallo se debe a una validación incorrecta de las solicitudes enviadas a la API. Un atacante podría explotarlo mediante el envío de peticiones especialmente diseñadas, lo que le permitiría ejecutar comandos con los privilegios asociados al rol netadmin.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-20127 Crítica Si Cisco
CVE-2026-20129 Crítica No Cisco
CVE-2026-20126 Alta No Cisco
CVE-2026-20133 Alta No Cisco
CVE-2026-20122 Alta No Cisco
CVE-2026-20128 Media No Cisco
Listado de referencias
Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability
Cisco Catalyst SD-WAN Vulnerabilities
Etiquetas