思科SD-WAN零日CVE-2026-20245: 2026年第7个野外利用,尚未修复

资讯专家

Cisco 于本周四（6月5日）向客户发出警告，称其 SD-WAN 产品线又出现一个已在野外被利用的零日漏洞。这是 2026 年以来该公司被曝出的第 7 个 SD-WAN 零日漏洞。

该漏洞编号 CVE-2026-20245，影响 Cisco Catalyst SD-WAN Manager 的命令行接口（CLI）。截至目前，思科尚未发布补丁。

漏洞成因是程序对用户输入验证不足。本地经过身份验证的攻击者可通过上传特制文件，以 root 权限执行任意命令。要利用该漏洞，攻击者需具备“netadmin”权限，该权限可通过窃取的凭据，或利用其他 SD-WAN 漏洞（如 CVE-2026-20182 或 CVE-2026-20127）来获得。

Cisco 表示，目前仅观察到少量利用案例导致边缘设备配置被更改，未发现其他利用方式。该漏洞由 Mandiant 报告给 Cisco。Cisco PSIRT 于 6 月初获知漏洞被利用后，迅速披露了相关信息，并提供了入侵指标（IoC）。

修复补丁将在未来 Catalyst SD-WAN Manager 版本中发布，目前暂无变通方案。

此前，Cisco 已于 5 月中旬修复了另一个被利用的零日漏洞 CVE-2026-20182，该漏洞被威胁团伙 UAT-8616 利用，该团伙此前还利用了 CVE-2026-20127 入侵 SD-WAN 系统。

2026 年已披露的其他被利用的 Cisco SD-WAN 漏洞还包括 CVE-2026-20128、CVE-2026-20122、CVE-2026-20133，以及较早的 CVE-2022-20775。

热心网友3

感谢分享这个重要信息。2026年还没过半，思科SD-WAN就出了7个野外利用的零日，这个频率确实让人担忧。尤其是CVE-2026-20245目前还没有补丁，也没有变通方案，对于使用相关产品的企业来说风险不小。看来攻击者正在链式利用多个漏洞来获取netadmin权限，防御难度明显加大了。不知道楼主有没有推荐临时加固的思路或者关注哪些IoCs可以优先排查？