Cisco SD-WAN管理ソフトに悪用中の脆弱性 CVE-2026-20262、即更新を

企業の通信網を一元管理するCisco Catalyst SD-WAN Managerに、すでに実際の攻撃で使われている脆弱性が見つかりました。番号はCVE-2026-20262です。ログインさえできれば、低い権限のアカウントからでもサーバー上のファイルを書き換えられ、最終的に最高権限（root、管理者として何でもできる権限）を奪われる恐れがあります。

Ciscoは2026年6月15日にセキュリティアドバイザリを公開し、同時に「限定的ながら、この脆弱性が実際に悪用されているのを確認した」と明らかにしました。米CISAも実際に攻撃されている脆弱性のリスト（KEV）として扱う対象になっています。修正版が出ているので、利用企業は今すぐ更新してください。

Cisco Catalyst SD-WAN Managerとは

支店や拠点がたくさんある会社では、それぞれのオフィスをつなぐ通信網（WAN）を効率よく束ねるために「SD-WAN」という仕組みが使われます。Cisco Catalyst SD-WAN Manager（旧称 SD-WAN vManage）は、その通信網全体を1つの画面から設定・監視する司令塔にあたる製品です。金融・通信・製造・官公庁など、複数拠点を持つ大きな組織で広く使われています。

この司令塔は、各拠点のルーターにどんな通信を許すか、どの経路を通すかといった設定を一括で配る立場にあります。だからこそ、ここを押さえられると会社じゅうの通信を見たり、書き換えたり、止めたりできることになり、攻撃者にとっては非常に価値の高い標的です。本サイトでは少し前に、同じ製品の別の脆弱性CVE-2026-20245（こちらも悪用中、最高権限奪取の恐れ）を取り上げました。今回のCVE-2026-20262は、それとは別に新しく公開された脆弱性です。

小さな鍵を1本持っているだけで、司令塔の主になれる

この脆弱性は「ログインが必要」という条件が付くため、不特定多数が外から一発で、というタイプではありません。それでも危険度を侮れないのは、すでにCiscoが実際の悪用を確認しているからです。攻撃者にとっての出発点は「とにかく何でもいいので、この管理画面にログインできる最小限のアカウントを1つ手に入れること」であり、そこから一気に司令塔の主へ駆け上がる経路が、今回の穴で開いていました。

その小さな鍵を握りに来るのは、すでに社内ネットワークに侵入して次の一手を探している攻撃者、別のサイトから盗んだIDとパスワードの使い回しを試す集団、退職間際や処遇に不満を抱えた内部の人間、運用を委託された業者になりすます者です。彼らが本当に欲しいのは、低い権限のアカウントそのものではなく、その先にある会社じゅうの通信の支配権です。最高権限を奪えば、各拠点のルーター設定を書き換えて通信を盗み見る、特定の拠点を切り離す、偽の経路に誘導する、といった操作が思いのままになります。権限の低いアカウントが1つ漏れた時点で、この穴を踏み台にして司令塔そのものが丸ごと乗っ取られてしまいます。

仕組みとしては、ファイルのアップロード処理で保存先の指定を十分に検査していないことが原因です。本来は決められた置き場にしか保存できないはずが、保存先を飛び越えて（パストラバーサル）システムの重要なファイルを作成・上書きできてしまいます。これを使って起動時に実行される設定などを差し替えれば、サービスの権限、ひいては最高権限（root）の奪取につながります。ログイン後の操作とはいえ、認証の弱点を突く別の攻撃や、使い回しパスワードと組み合わされることで、最初のログインのハードルは現実には決して高くありません。

「危険度6.5」という数字は、ログインが必要なぶん控えめに見えます。しかし、すでに悪用が始まっている事実の前では、数字の大小より「踏まれたら何を失うか」が問題です。SD-WANの司令塔を奪われた企業が失うのは、全拠点の通信の機密、止められない業務、改ざんされうる経路設定、そして「社内ネットワークの中枢を掌握された」という最悪の前提です。司令塔が落ちれば、その下にぶら下がるすべての拠点が同時に危うくなります。

CVE-2026-20262：保存先を飛び越えてファイルを書き換える

CVE-2026-20262は、Ciscoのアドバイザリによると、Web管理画面のファイルアップロード処理における入力検査の不備に起因します。ログイン済みの攻撃者が細工した通信を送ると、システム上の任意の場所にファイルを作成・上書きでき、これを足がかりに最高権限（root）への昇格につながる可能性があります。種別はパストラバーサル（CWE-22）です。

技術的な評価軸（CVSSベクター）は AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N で、スコアは6.5です。要点は「ネット越しに（AV:N）、簡単な条件で（AC:L）、低い権限のログイン（PR:L）さえあれば、利用者の操作なし（UI:N）で、ファイルの改ざん（I:H）が起こせる」という意味です。情報漏えいやサービス停止そのものの評価は低めですが、ファイルの上書きから最高権限の奪取へとつながる点が実際の怖さで、Ciscoが悪用を確認していることがそれを裏づけます。

対象バージョンと、いますぐやるべきこと

Ciscoは各バージョン系統ごとに修正版を用意しています。運用中のソフトウェア版を確認し、下記の修正版以降へ更新してください。

最優先は修正版への更新です。すでに悪用が確認されている脆弱性のため、定例の更新サイクルを待たず早急に適用してください。あわせて、管理画面にアクセスできる範囲を信頼できる管理セグメントに限定し、不要なアカウントの棚卸し、低権限アカウントを含むパスワードの再設定、多要素認証の有効化も見直しておきたいところです。

更新前にすでに侵害されていなかったかの点検も重要です。身に覚えのないファイルの作成・更新、想定外のアカウントによるログイン記録、設定の不審な変更がないかを確認してください。判断がつかない場合は、Ciscoの案内とログを突き合わせ、早めに対応チームへ相談するのが安全です。

通信の司令塔が狙われ続けている

ネットワークやセキュリティの「司令塔」が攻撃の標的になる事例は相次いでいます。本サイトでは、同じCisco Catalyst SD-WAN Managerの別の悪用脆弱性CVE-2026-20245に加え、社員スマホの管理基盤が無認証で陥落したIvanti Sentry（CVE-2026-10520ほか）、ランサム集団が悪用したCheck Point製VPNの認証回避（CVE-2026-50751）を取り上げてきました。

こうした管理基盤は、一台守れば多数を守れる便利さの裏返しで、一台破られれば配下のすべてが連鎖的に危うくなります。同じ製品で短期間に複数の悪用脆弱性が出ているという事実は、この種の司令塔が攻撃者から集中的に狙われていることの表れです。だからこそ、管理基盤こそ最優先でアップデートし、アクセス経路を絞り込む運用が欠かせません。

悪用状況とKEVへの登録

CVE-2026-20262は、Cisco自身が「限定的ながら実際に悪用されている」と公表しており、米政府機関が攻撃に悪用されている脆弱性をまとめるCISAのKEVカタログでも対応対象として扱われています。攻撃に悪用されている脆弱性の最新状況は、本サイトのCISA KEV日本語ダッシュボードでまとめて確認できます。

「ログインが必要」「危険度6.5」という条件だけを見て後回しにするのは危険です。すでに悪用が始まっており、低権限アカウントの漏えいや使い回しと組み合わされれば、現実の被害に直結します。修正版が出ている今のうちに、更新と侵害有無の点検を済ませておくことが最も確実な防御です。

参照元

• ▸ NVD - CVE-2026-20262（2026年6月15日公開）
• ▸ Cisco Security Advisory - Catalyst SD-WAN Manager Arbitrary File Write（CVE-2026-20262）
• ▸ MITRE - CWE-22: Path Traversal
• ▸ CISA - Known Exploited Vulnerabilities Catalog