أعلنت شركة Cisco عن إصدار تحديثات أمنية لمعالجة ثغرة متوسطة الخطورة في Catalyst SD-WAN Manager، والمعروفة سابقًا باسم SD-WAN vManage. الثغرة تحمل الرمز CVE-2026-20262 بدرجة خطورة CVSS 6.5، وتسمح لمهاجم يمتلك بيانات اعتماد صالحة بإنشاء أو استبدال أي ملف على نظام التشغيل عبر واجهة الويب.
المشكلة تعود إلى ضعف التحقق من مدخلات المستخدم أثناء عملية رفع الملفات، ما يتيح إرسال طلبات HTTP مُصممة خصيصًا لاستغلال الخلل وفتح الطريق نحو تصعيد الصلاحيات إلى مستوى الجذر (root).
المنتجات المتأثرة
الثغرة تؤثر على جميع أنماط نشر Cisco SD-WAN Manager، بما في ذلك:
- النسخة المحلية (On-Prem)
- النسخة السحابية (Cloud-Pro وCloud Managed)
- النسخة الحكومية (FedRAMP)
الإصدارات المصححة
أصدرت سيسكو تحديثات أمنية في الإصدارات التالية:
- الإصدار 20.9.9.1 وما قبله → تم الإصلاح في 20.9.9.2
- الإصدار 20.12.7.1 وما قبله → تم الإصلاح في 20.12.7.2
- الإصدار 20.15.4.4 وما قبله → تم الإصلاح في 20.15.4.5
- الإصدار 20.15.5.2 وما قبله → تم الإصلاح في 20.15.5.3
- الإصدار 20.18.3 → تم الإصلاح في 20.18.3.1
- الإصدار 26.1.1.1 وما قبله → تم الإصلاح في 26.1.1.2
مؤشرات الاستغلال
أشارت سيسكو إلى أنها رصدت استغلالًا محدودًا للثغرة في يونيو 2026، وقدمت مؤشرات على وجود نشاط خبيث، منها:
- ظهور ملفات WAR مشبوهة في سجلات الخادم .
- محاولات لنشر ملفات خبيثة والتفاعل معها عبر سجلات التطبيق والخدمات.
السياق الأمني
هذه الثغرة هي الثامنة التي تُستغل ضد Cisco SD-WAN خلال عام 2026، بعد ثغرات مثل CVE-2026-20245 وCVE-2026-20182 وCVE-2026-20127، والتي نُسب استغلال بعضها إلى مجموعة التهديد المستمر المتقدم UAT-8616.
وقد دفعت خطورة الاستغلال وكالة CISA إلى إدراج الثغرة في قائمة الثغرات المستغلة المعروفة (KEV)، وإلزام الوكالات الفيدرالية المدنية بتطبيق الإصلاحات قبل 29 يونيو 2026.
