Cisco : une faille zero-day dans SD-WAN Manager exploitée sans correctif

Cisco alerte sur une faille zero-day activement exploitée dans son logiciel SD-WAN Manager

La vulnérabilité, identifiée CVE-2026-20245 et notée 7,8 sur l'échelle CVSS, permet à un attaquant disposant de privilèges d'administrateur réseau d'exécuter des commandes en tant que superutilisateur. Aucun correctif n'est encore disponible.

Publié le 8 juin 2026 à 09h52 · 2 min de lecture

Une faille non corrigée exposée à des attaques actives

Cisco a signalé l'existence d'une vulnérabilité de type zero-day affectant son logiciel Catalyst SD-WAN Manager, anciennement appelé vManage. Identifiée CVE-2026-20245 et évaluée 7,8 sur 10 sur le barème CVSS, cette faille fait déjà l'objet d'exploitations dans la nature. L'éditeur n'a pour l'heure publié aucun correctif.

Le produit concerné sert de console centralisée pour la gestion, la supervision et la mise à jour des réseaux d'entreprise étendus. Il permet de configurer à distance les routeurs déployés dans des sites géographiquement dispersés. La vulnérabilité touche l'ensemble des déclinaisons du logiciel, qu'il soit installé sur site, hébergé dans le cloud par Cisco (offres Cloud et Cloud-Pro) ou déployé dans l'environnement FedRAMP réservé aux administrations américaines.

Une escalade de privilèges vers le contrôle total

Pour exploiter la faille, un attaquant doit déjà posséder un compte d'administrateur réseau, le profil dit « netadmin » dans la terminologie de Cisco. Il peut alors téléverser un fichier malveillant que le logiciel ne valide pas correctement, puis exécuter ses propres instructions avec les droits root, soit le niveau d'accès le plus élevé sur le système.

Dans plusieurs incidents observés par Cisco, l'attaque ne s'est pas limitée à la console. Les assaillants ont en effet propagé des modifications de configuration vers les routeurs distants, ce qui leur a donné le contrôle de l'ensemble du réseau d'entreprise. Cette capacité de latéralisation rend la brèche particulièrement dangereuse.

Des correctifs temporaires sur des vulnérabilités connexes

En l'absence d'un correctif pour CVE-2026-20245, Cisco recommande d'installer en priorité les mises à jour publiées le 14 mai pour deux autres vulnérabilités, CVE-2026-20182 et CVE-2026-20127. L'enchaînement de ces failles peut en effet permettre à un attaquant d'obtenir les droits netadmin nécessaires pour déclencher la faille zero-day. L'éditeur a également diffusé des indicateurs de compromission permettant aux administrateurs de détecter une éventuelle intrusion dans les journaux du serveur.

Un schéma récurrent de failles SD-WAN

Cette vulnérabilité s'inscrit dans une série préoccupante. Il s'agit de la sixième faille affectant les composants SD-WAN de Cisco depuis le début de l'année, et du deuxième zero-day en deux mois. La date de publication d'un correctif pour CVE-2026-20245 n'est pas encore connue.

Cisco alerte sur une faille zero-day activement exploitée dans son logiciel SD-WAN Manager

Évolution du sujet

À lire ensuite

Google déploie un assistant IA pour aider les électeurs américains lors des scrutins locaux

Gemini obtient l'accès à Google Contacts : une IA agentique dans le carnet d'adresses

WWDC 2026 : comment suivre la keynote et les annonces attendues

Royaume-Uni : Keir Starmer s'apprête à annoncer des restrictions sur l'accès des mineurs aux réseaux sociaux