CVE-2026-20262 erlaubt Rechteausweitung durch Datei-Upload Aktiv ausgenutzte Lücke im Cisco SD-WAN Manager gibt Root-Zugriff

Cisco schließt eine aktiv ausgenutzte Schwachstelle im Catalyst SD-WAN Manager. Ein authentifizierter Angreifer kann über die Web-Oberfläche beliebige Dateien auf das System schreiben und seine Rechte bis zur Root-Ebene anheben. CISA hat die Schwachstelle CVE-2026-20262 in den KEV-Katalog aufgenommen, Patches stehen bereit, Behelfslösungen fehlen jedoch.

Cisco bestätigt aktive Angriffe auf CVE-2026-20262 im Catalyst SD-WAN Manager, dem früheren SD-WAN vManage. Die Schwachstelle erlaubt einem angemeldeten Angreifer das Schreiben und Überschreiben beliebiger Dateien auf dem darunterliegenden Betriebssystem, ein Path-Traversal-Fehler nach CWE-22. Cisco bewertet das Problem nach CVSS 3.1 mit 6.5 und ordnet es als mittel ein. Die US-Behörde CISA nahm den Fehler am 15.06.2026 in den Katalog bekannter ausgenutzter Schwachstellen auf und setzte Bundesbehörden eine Frist bis zum 29.06.2026.

EUVD-2026-9444 / CVE-2026-20131

Cisco warnt vor Angriffen auf Firewall Management Center

Schreibzugriff über die Web-Oberfläche

Der Defekt sitzt im Datei-Upload der Web-Oberfläche. Die Software prüft die übergebenen Eingaben unzureichend, ein präparierter HTTP-Request an einen verwundbaren API-Endpunkt platziert dadurch eine Datei außerhalb des vorgesehenen Verzeichnisses. Aus dem Schreibrecht auf das gesamte Dateisystem folgt die Ausweitung auf Root-Rechte, zum Beispiel durch das Ablegen einer WAR-Datei oder einer Web-Shell in einem sensiblen Verzeichnis. Der Angriff setzt eine Anmeldung voraus, ein niedrig privilegiertes Benutzerkonto mit Schreibrechten genügt bereits. Der Zugriff fügt sich in reguläre administrative Vorgänge ein und bleibt dadurch schwer erkennbar.

Neue und alte Schwachstelle im Fokus

Internationale Sicherheitsbehörden warnen vor Angriffen auf Cisco SD-WAN

Management-Plane vergrößert den Schaden

Der Catalyst SD-WAN Manager steuert als zentrale Management-Plane tausende Edge-Geräte aus einer Oberfläche. Eine Übernahme dieser Komponente wirkt auf die gesamte SD-WAN-Fabric und verschafft Angreifern eine privilegierte Position im Netz. Der CVSS-Wert von 6.5 bildet vorrangig den Integritätsschaden ab und unterschätzt damit die operative Tragweite. Betroffen sind alle Betriebsvarianten unabhängig von der Konfiguration, darunter On-Premises, Cloud-Pro, Cisco Managed Cloud und FedRAMP-Umgebungen. Internetnahe Management-Oberflächen stehen im höchsten Risiko. Cisco hat den Fehler bei internen Sicherheitstests gefunden, das PSIRT beobachtete im Juni 2026 begrenzte Angriffe. Der eng umrissene Kreis betroffener Systeme deutet auf eine zielgerichtete Operation erfahrener Akteure.

Unified Communication und Webex betroffen

Sicherheitslücke erlaubt Root-Zugriff auf Cisco Systeme

Betroffene Versionen und Patches

Cisco liefert für jeden betroffenen Versionszweig eine korrigierte Ausgabe. Die Releases 20.9.9.1 und älter erhalten die Korrektur in 20.9.9.2, 20.12.7.1 und älter in 20.12.7.2, 20.15.4.4 und älter in 20.15.4.5, 20.15.5.2 und älter in 20.15.5.3. Version 20.18.3 wird in 20.18.3.1 behoben, 26.1.1.1 und älter in 26.1.1.2. Einen Behelf ohne Update nennt Cisco nicht, die Aktualisierung bleibt die einzige Gegenmaßnahme. CVE-2026-20262 ist die jüngste in einer langen Serie ausgenutzter Cisco-SD-WAN-Lücken im Jahr 2026. Kurz zuvor landete bereits CVE-2026-20245 mit einem CVSS-4.0-Wert von 7.1 im KEV-Katalog.

Angriffe auf Cisco-Systeme laufen

US-Senator nimmt Cisco in die Mangel

Fazit

Der mittlere CVSS-Wert bildet die operative Tragweite nur unvollständig ab, denn ein Schreibzugriff auf die Management-Plane reicht bis zur vollständigen Kontrolle über die SD-WAN-Steuerung. Die rasche Aufnahme in den KEV-Katalog binnen eines Tages nach der Veröffentlichung zeigt die Dringlichkeit. Cisco verzeichnet 2026 eine auffällige Serie ausgenutzter Schwachstellen in der eigenen SD-WAN-Produktlinie.

Remote Code Execution

Cisco Firewalls bedroht durch CVSS-10-Schwachstelle

(ID:50878412)