Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло два новых идентификатора уязвимостей в каталог Known Exploited Vulnerabilities (KEV). Основанием послужили подтверждённые данные об их активном использовании в реальных атаках. Речь идёт о CVE-2026-20262, затрагивающей Cisco Catalyst SD-WAN Manager, и CVE-2026-54420, присутствующей в плагине LiteSpeed для cPanel.
Детали уязвимостей
Уязвимость CVE-2026-20262 получила идентификатор CWE-22 (некорректное ограничение пути к директории, или path traversal) и оценку 6,5 балла по шкале CVSS v3.1, что соответствует среднему уровню опасности. Проблема локализована в веб-интерфейсе Cisco Catalyst SD-WAN Manager (ранее известного как SD-WAN vManage). Из-за недостаточной проверки пользовательского ввода при загрузке файлов аутентифицированный удалённый злоумышленник может отправить специально сформированный HTTP-запрос к одному из API-эндпоинтов. Успешная эксплуатация позволяет создать новый файл или перезаписать произвольный файл в файловой системе базовой операционной системы. Впоследствии этот файл может быть использован для повышения привилегий до уровня root. Для атаки требуются учётные данные с правами хотя бы низкопривилегированного однозадачного пользователя.
Перечень уязвимых версий продукта включает десятки сборок, начиная с 17.2.4 и заканчивая 26.1.1.1. Столь широкий охват означает, что уязвимость присутствует во многих установках SD-WAN Manager, которые не были своевременно обновлены. Вендор уже выпустил исправления в рамках регулярных патчей, однако организации, не применившие их, остаются под угрозой.
Вторая уязвимость, CVE-2026-54420, значительно опаснее - её базовый показатель CVSS составляет 8,5 балла (высокий). Она относится к категории CWE-61 (следование по символической ссылке UNIX). Проблема затрагивает плагин LiteSpeed для cPanel версий до 2.4.8 (в составе пакета LiteSpeed WHM PlugIn до версии 5.3.2.0). Уязвимость позволяет пользователю, имеющему доступ по FTP или через веб-оболочку на общем хостинг-сервере под управлением CloudLinux с включённой изоляцией CageFS, манипулировать символическими ссылками. Это даёт возможность выйти за пределы выделенного файлового пространства и получить доступ к данным других клиентов или к системным файлам.
Особое внимание привлекает факт, что эксплуатация данной уязвимости уже была зафиксирована в реальных условиях в мае 2026 года, как указано в описании CVE. Это означает, что злоумышленники активно использовали этот недостаток до выпуска патча. Разработчик - компания LiteSpeed Technologies - устранил проблему в версии 2.4.8 плагина для cPanel и в версии 5.3.2.0 WHM PlugIn.
Обе уязвимости объединяет то, что они требуют начального доступа к системе, но отличаются по вектору атаки. В случае Cisco SD-WAN Manager атакующему необходимо иметь учётную запись на самом устройстве управления, тогда как для LiteSpeed достаточно учётной записи обычного пользователя хостинга. В обоих сценариях после эксплуатации злоумышленник может существенно расширить свои возможности и перейти к эскалации привилегий.
CISA в своём бюллетене рекомендует всем государственным и частным организациям, использующим эти продукты, незамедлительно применить доступные обновления. Особую важность это имеет для операторов SD-WAN-сетей и провайдеров хостинга, которые управляют большим количеством виртуальных окружений.
На данный момент исправления для CVE-2026-20262 доступны в актуальных версиях Cisco Catalyst SD-WAN Manager. Для CVE-2026-54420 необходимо обновить плагин LiteSpeed cPanel до версии 2.4.8 и выше, а также WHM PlugIn до 5.3.2.0. Промедление с установкой патчей повышает риск компрометации инфраструктуры, утечки данных и перехвата управления сетевыми ресурсами.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20262
- https://www.cve.org/CVERecord?id=CVE-2026-54420
- https://www.cisa.gov/news-events/alerts/2026/06/15/cisa-adds-two-known-exploited-vulnerabilities-catalog
