Faille zero-day de Cisco SD-WAN Manager exploitée (CVE-2026-20245)

Le 5 juin 2026, Cisco a alerté sur une faille zero-day non corrigée et de haute gravité dans son Catalyst SD-WAN Manager — référencée CVE-2026-20245 — activement exploitée dans la nature. La faille provient d'une validation insuffisante des entrées fournies par l'utilisateur et permet à un attaquant de téléverser un fichier malveillant pour effectuer une injection de commandes et exécuter des commandes arbitraires en tant que root.

Ce qui s'est passé

L'équipe d'intervention de sécurité produit (PSIRT) de Cisco a indiqué avoir eu connaissance de l'exploitation après un signalement de Mandiant (Google Cloud), confirmant un nombre limité de cas où la faille a été exploitée pour pousser une modification de configuration vers des équipements de bordure. Pour exploiter la vulnérabilité, un attaquant doit d'abord disposer des privilèges netadmin sur le système ciblé — obtenus avec des identifiants compromis ou en enchaînant d'autres failles SD-WAN telles que CVE-2026-20182 ou CVE-2026-20127.

La vulnérabilité affecte tous les types de déploiement, y compris sur site, Cisco SD-WAN Cloud-Pro, le cloud géré par Cisco et le SD-WAN for Government homologué FedRAMP. Au moment de la divulgation, Cisco n'avait pas publié de correctif pour CVE-2026-20245 et conseillait aux clients de migrer vers la version corrigée pour CVE-2026-20182.

Pourquoi c'est important

Les gestionnaires SD-WAN se situent au cœur du plan de contrôle des réseaux d'entreprise, orchestrant la configuration de flottes d'équipements de bordure. Une exécution de code en tant que root à cet endroit transforme une seule console de gestion compromise en levier sur tout le routage d'un réseau — et il s'agit de l'une d'une série de failles zero-day SD-WAN que Cisco a dû traiter en 2026, plusieurs exploitées avant tout correctif.

Sources

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/new-cisco-sd-wan-flaw-exploited-in-zero-day-attacks-to-gain-root/

securityweek.comhttps://www.securityweek.com/cisco-warns-of-7th-sd-wan-zero-day-exploited-in-2026/

theregister.comhttps://www.theregister.com/security/2026/06/05/yet-another-cisco-sd-wan-0-day-under-attack-and-no-patch-in-sight/5251855

cybersecuritydive.comhttps://www.cybersecuritydive.com/news/cisco-zero-day-flaw-sd-wan-exploited/822138/

Incidents liés

Chaîne d’approvisionnementContenu4 juin 2026

Le malware auto-propagateur IronWorm frappe 36 paquets npm (2026)

Des chercheurs ont révélé IronWorm, un voleur d'informations auto-propagateur écrit en Rust qui a compromis 36 paquets npm, dérobant les secrets de développeurs et de pipelines CI puis republiant des paquets piégés à l'aide d'identifiants de publication npm volés.

Victim: npm (registre Node Package Manager)

Faille zero-dayEn cours10 juin 2026

La faille zero-day « RoguePlanet » de Microsoft Defender octroie les privilèges SYSTEM (CVE-2026-47281)

Des chercheurs ont divulgué une faille zero-day d'élévation de privilèges dans Microsoft Defender, baptisée RoguePlanet (CVE-2026-47281), qui exploite une situation de compétition pour détourner une opération de fichier exécutée en tant que SYSTEM et accorder à un attaquant local un accès SYSTEM complet sur des machines Windows à jour.

Victim: Microsoft Defender

Faille zero-dayEn cours10 juin 2026

Faille zero-day d'Oracle PeopleSoft PeopleTools exploitée par ShinyHunters (CVE-2026-35273)

Oracle a publié une alerte d'urgence hors calendrier après que le groupe ShinyHunters a exploité une faille zero-day critique d'exécution de code à distance sans authentification dans PeopleSoft PeopleTools pour voler les données de plus de 100 organisations, en majorité des universités.

Victim: Oracle PeopleSoft

Faille zero-dayContenu9 juin 2026

Google corrige une faille zero-day activement exploitée dans le moteur V8 de Chrome (CVE-2026-11645)

Google a publié une mise à jour d'urgence de Chrome corrigeant CVE-2026-11645, une faille mémoire de gravité élevée dans le moteur V8 qui permet à une page web piégée d'exécuter du code arbitraire et pour laquelle un exploit circule déjà.

Victim: Google Chrome