Vulnerabilidad en Cisco Catalyst SD-WAN Manager (CVE-2026-20129)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
25/02/2026
Última modificación:
04/03/2026
Descripción
Una vulnerabilidad en la autenticación de usuarios de la API de Cisco Catalyst SD-WAN Manager podría permitir a un atacante remoto no autenticado obtener acceso a un sistema afectado como un usuario con el rol de netadmin.<br />
<br />
La vulnerabilidad se debe a una autenticación incorrecta para las solicitudes que se envían a la API. Un atacante podría explotar esta vulnerabilidad enviando una solicitud manipulada a la API de un sistema afectado. Un exploit exitoso podría permitir al atacante ejecutar comandos con los privilegios del rol de netadmin.<br />
Nota: Las versiones 20.18 y posteriores de Cisco Catalyst SD-WAN Manager no se ven afectadas por esta vulnerabilidad.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:catalyst_sd-wan_manager:*:*:*:*:*:*:*:* | 20.9.8.2 (excluyendo) | |
| cpe:2.3:a:cisco:catalyst_sd-wan_manager:*:*:*:*:*:*:*:* | 20.11 (incluyendo) | 20.12.5.3 (excluyendo) |
| cpe:2.3:a:cisco:catalyst_sd-wan_manager:*:*:*:*:*:*:*:* | 20.13 (incluyendo) | 20.15.4.2 (excluyendo) |
| cpe:2.3:a:cisco:catalyst_sd-wan_manager:*:*:*:*:*:*:*:* | 20.16 (incluyendo) | 20.18 (excluyendo) |
| cpe:2.3:a:cisco:catalyst_sd-wan_manager:20.12.6:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página