Cisco confirma exploração ativa de duas vulnerabilidades no Catalyst SD-WAN Manager
6 de Março de 2026

A Cisco revelou que duas novas vulnerabilidades no Catalyst SD-WAN Manager (antigo SD-WAN vManage) estão sendo exploradas ativamente em ambientes reais.

As falhas reportadas são:

- ** CVE-2026-20122 ** (pontuação CVSS 7.1): permite que um invasor autenticado sobrescreva arquivos arbitrários no sistema local.

Para a exploração bem-sucedida, o atacante precisa dispor de credenciais válidas com acesso de leitura à API no sistema afetado.

- ** CVE-2026-20128 ** (pontuação CVSS 5.5): possibilita que um invasor local autenticado eleve seus privilégios ao usuário do Data Collection Agent (DCA).

A exploração requer credenciais válidas no vManage.

Na última semana de maio de 2026, a Cisco lançou patches que corrigem essas vulnerabilidades, além de outras três ( CVE-2026-20126 , CVE-2026-20129 e CVE-2026-20133 ).

As correções estão disponíveis para diversas versões, desde versões anteriores à 20.9.1 até a 20.18, conforme detalhado a seguir:

- Antes da versão 20.9.1: migração para release corrigido.
- Versão 20.9: corrigido na 20.9.8.2
- Versão 20.11: corrigido na 20.12.6.1
- Versão 20.12: corrigido nas versões 20.12.5.3 e 20.12.6.1
- Versões 20.13, 20.14 e 20.15: corrigido na 20.15.4.2
- Versões 20.16 e 20.18: corrigido na 20.18.2.1

Segundo o Cisco Product Security Incident Response Team (PSIRT), explorações ativas das falhas CVE-2026-20128 e CVE-2026-20122 foram detectadas em março de 2026.

A empresa não divulgou detalhes sobre o alcance dos ataques nem a identidade dos responsáveis.

Diante desse cenário, a recomendação é que os usuários atualizem seus sistemas para as versões corrigidas o quanto antes.

Além disso, orienta-se restringir o acesso a partir de redes inseguras, proteger os dispositivos por meio de firewall, desabilitar o HTTP no portal administrativo do Catalyst SD-WAN Manager, desativar serviços de rede como HTTP e FTP quando não estiverem em uso, alterar as senhas administrativas padrão e monitorar logs em busca de tráfego suspeito.

Essa divulgação ocorre uma semana após a Cisco informar que uma vulnerabilidade crítica ( CVE-2026-20127 , CVSS 10.0) no Catalyst SD-WAN Controller e Manager foi explorada por um grupo de cibercriminosos altamente sofisticado, identificado como UAT-8616, para manter acesso persistente em organizações de alto valor.

Nesta semana, a Cisco também liberou atualizações para corrigir duas vulnerabilidades graves no Secure Firewall Management Center ( CVE-2026-20079 e CVE-2026-20131 , CVSS 10.0).

Essas falhas permitiam que invasores remotos não autenticados batessem a autenticação e executassem código Java arbitrário com privilégios root nos dispositivos afetados.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...