{"id":160,"date":"2026-03-05T16:34:04","date_gmt":"2026-03-05T16:34:04","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/05\/cisco-confirma-la-explotacion-activa-de-dos-vulnerabilidades-de-catalyst-sd-wan-manager-cyberdefensa-mx\/"},"modified":"2026-03-05T16:34:04","modified_gmt":"2026-03-05T16:34:04","slug":"cisco-confirma-la-explotacion-activa-de-dos-vulnerabilidades-de-catalyst-sd-wan-manager-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/05\/cisco-confirma-la-explotacion-activa-de-dos-vulnerabilidades-de-catalyst-sd-wan-manager-cyberdefensa-mx\/","title":{"rendered":"Cisco confirma la explotaci\u00f3n activa de dos vulnerabilidades de Catalyst SD-WAN Manager \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Cisco ha revelado que dos vulnerabilidades m\u00e1s que afectan a Catalyst SD-WAN Manager (anteriormente SD-WAN vManage) han sido explotadas activamente en la naturaleza.<\/p>\n<p>El <a href=\"https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-sdwan-authbp-qwCX8D4v#:~:text=Exploitation%20and%20Public%20Announcements\" rel=\"noopener\" target=\"_blank\">vulnerabilidades en cuesti\u00f3n<\/a> se enumeran a continuaci\u00f3n \u2013<\/p>\n<ul>\n<li><strong>CVE-2026-20122<\/strong> (Puntuaci\u00f3n CVSS: 7,1): una vulnerabilidad de sobrescritura de archivos arbitraria que podr\u00eda permitir a un atacante remoto autenticado sobrescribir archivos arbitrarios en el sistema de archivos local. La explotaci\u00f3n exitosa requiere que el atacante tenga credenciales v\u00e1lidas de solo lectura con acceso API en el sistema afectado.<\/li>\n<li><strong>CVE-2026-20128<\/strong> (Puntuaci\u00f3n CVSS: 5,5): una vulnerabilidad de divulgaci\u00f3n de informaci\u00f3n que podr\u00eda permitir a un atacante local autenticado obtener privilegios de usuario del Agente de recopilaci\u00f3n de datos (DCA) en un sistema afectado. La explotaci\u00f3n exitosa requiere que el atacante tenga credenciales de vManage v\u00e1lidas en el sistema afectado.<\/li>\n<\/ul>\n<p>Cisco lanz\u00f3 los parches para los defectos de seguridad, junto con CVE-2026-20126, CVE-2026-20129 y CVE-2026-20133, a fines del mes pasado en las siguientes versiones:<\/p>\n<ul>\n<li>Anterior a la versi\u00f3n 20.91: migre a una versi\u00f3n fija.<\/li>\n<li>Versi\u00f3n 20.9 \u2013 Corregido en 20.9.8.2<\/li>\n<li>Versi\u00f3n 20.11 \u2013 Corregido en 20.12.6.1<\/li>\n<li>Versi\u00f3n 20.12: corregida en 20.12.5.3 y 20.12.6.1<\/li>\n<li>Versi\u00f3n 20.13 \u2013 Corregido en 20.15.4.2<\/li>\n<li>Versi\u00f3n 20.14 \u2013 Corregido en 20.15.4.2<\/li>\n<li>Versi\u00f3n 20.15 \u2013 Corregido en 20.15.4.2<\/li>\n<li>Versi\u00f3n 20.16 \u2013 Corregido en 20.18.2.1<\/li>\n<li>Versi\u00f3n 20.18 \u2013 Corregido en 20.18.2.1<\/li>\n<\/ul>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fs-report-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjWQgUDT06NQu9vGMPC7BWROmJABTIWg058l7oGKD-v3ZchC8_66xjbclOE9koChsRf5CEKgqrXTVrne_00PdGokh3brhvF-g33I4FYYpTukrvuNQWXZOVAfon6-2axyRoVJ4uOrXPqRhxfZUaJWEm-K9esUS3ql8VSVWAKLqyfhHLgMSXhkMTkcOtGSX7R\/s728-e100\/fs-report-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>\u00abEn marzo de 2026, Cisco PSIRT se dio cuenta de la explotaci\u00f3n activa de las vulnerabilidades que se describen \u00fanicamente en CVE-2026-20128 y CVE-2026-20122\u00bb, dijo el especialista en equipos de redes. La empresa no dio m\u00e1s detalles sobre la escala de la actividad y qui\u00e9n podr\u00eda estar detr\u00e1s de ella.<\/p>\n<p>A la luz de la explotaci\u00f3n activa, se recomienda a los usuarios actualizar a una versi\u00f3n de software fija lo antes posible y tomar medidas para limitar el acceso desde redes no seguras, proteger los dispositivos detr\u00e1s de un firewall, deshabilitar HTTP para el portal de administrador de la interfaz de usuario web de Catalyst SD-WAN Manager, desactivar servicios de red como HTTP y FTP si no son necesarios, cambiar la contrase\u00f1a de administrador predeterminada y monitorear el tr\u00e1fico de registro para detectar cualquier tr\u00e1fico inesperado hacia y desde los sistemas.<\/p>\n<p>La divulgaci\u00f3n se produce una semana despu\u00e9s de que la compa\u00f1\u00eda dijera que una falla de seguridad cr\u00edtica en Cisco Catalyst SD-WAN Controller y Catalyst SD-WAN Manager (CVE-2026-20127, puntuaci\u00f3n CVSS: 10.0) hab\u00eda sido explotada por un actor de amenazas cibern\u00e9ticas altamente sofisticado rastreado como UAT-8616 para establecer puntos de apoyo persistentes en organizaciones de alto valor.<\/p>\n<p>Esta semana, Cisco tambi\u00e9n <a href=\"https:\/\/sec.cloudapps.cisco.com\/security\/center\/viewErp.x?alertId=ERP-75736\" rel=\"noopener\" target=\"_blank\">actualizaciones publicadas<\/a> para abordar dos vulnerabilidades de seguridad de m\u00e1xima gravedad en Secure Firewall Management Center (<a href=\"https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-onprem-fmc-authbypass-5JPp45V2\" rel=\"noopener\" target=\"_blank\">CVE-2026-20079<\/a> y <a href=\"https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-fmc-rce-NKhnULJh\" rel=\"noopener\" target=\"_blank\">CVE-2026-20131<\/a>puntuaciones CVSS: 10.0) que podr\u00edan permitir a un atacante remoto no autenticado eludir la autenticaci\u00f3n y ejecutar c\u00f3digo Java arbitrario como root en un dispositivo afectado.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Cisco ha revelado que dos vulnerabilidades m\u00e1s que afectan a Catalyst SD-WAN Manager (anteriormente SD-WAN vManage) han sido explotadas activamente en la naturaleza. El vulnerabilidades en cuesti\u00f3n se enumeran a continuaci\u00f3n \u2013 CVE-2026-20122 (Puntuaci\u00f3n CVSS: 7,1): una vulnerabilidad de sobrescritura de archivos arbitraria que podr\u00eda permitir a un atacante remoto autenticado sobrescribir archivos arbitrarios en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":123,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[107,501,62,343,24,494,106,502,63,342],"class_list":["post-160","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-activa","tag-catalyst","tag-cisco","tag-confirma","tag-cyberdefensa-mx","tag-dos","tag-explotacion","tag-manager","tag-sdwan","tag-vulnerabilidades"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/160","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=160"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/160\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/123"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=160"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=160"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=160"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}