はじめに
2026 年 6 月 4 日、Cisco は Catalyst SD-WAN Manager(旧 SD-WAN vManage)の特権昇格脆弱性 CVE-2026-20245(CVSS 7.8 / High) を公開しました。Cisco PSIRT は本脆弱性について実環境での悪用を確認しており、かつ公開時点で本 CVE 専用の修正ソフトウェアが提供されていない点が、運用者にとっての最大の課題となります。
本脆弱性は、認証済みのローカル攻撃者が細工したファイルを SD-WAN Manager に投入することで command injection を成立させ、root 権限で任意コマンドを実行し得るものです。攻撃の前提として netadmin 権限が必要となりますが、この前提は、先に公開された認証バイパス脆弱性 CVE-2026-20182 / CVE-2026-20127 を悪用することでも満たされ得ます。つまり本件は、単独の脆弱性というよりも、認証バイパスから root 奪取に至る一連の攻撃チェーンの後段に位置づけられます。
- CVE-2026-20245 の概要(CVSS 7.8・実環境で悪用が確認されたゼロデイ)
- 細工したファイルの投入から command injection を経て root 権限昇格に至る仕組み
- 攻撃の前提となる netadmin 権限と、認証バイパス脆弱性(CVE-2026-20182 / CVE-2026-20127)との関係
- 専用パッチ未提供の状況で取り得る暫定対処(admin-tech による情報保全・アップグレード方針・エッジ設定の確認)
- /var/log/scripts.log を用いた侵害有無の確認ポイント
要点を先に整理すると、CVE-2026-20245 は netadmin 権限を持つ攻撃者が root へ昇格し得るローカルの特権昇格脆弱性で、本 CVE 専用の修正版とワークアラウンドはいずれも未提供です。Cisco は当面の対応として、2026 年 5 月 14 日付の Catalyst SD-WAN Security Advisory に基づくアップグレード、エッジデバイス構成の確認、そしてアップグレード前の request admin-tech による情報保全を推奨しています。
CVE-2026-20245 の概要と深刻度
CVE-2026-20245 は、Cisco Catalyst SD-WAN Manager の CLI における入力検証不備(CWE-116: Improper Encoding or Escaping of Output)に起因する脆弱性です。Cisco のアドバイザリでは、その影響が次のように説明されています。
参考: Cisco Security Advisory cisco-sa-sdwan-privesc-4uxFrdzx
“A vulnerability in the CLI of Cisco Catalyst SD-WAN Manager, formerly SD-WAN vManage, could allow an authenticated, local attacker to execute arbitrary commands as root by supplying a crafted file to the affected system.”
(Cisco Catalyst SD-WAN Manager(旧 SD-WAN vManage)の CLI に存在する脆弱性により、認証済みのローカル攻撃者が細工したファイルを対象システムに与えることで、root として任意のコマンドを実行し得る可能性があります。)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx
基本情報
| 項目 | 内容 |
|---|---|
| CVE ID | CVE-2026-20245 |
| Cisco Bug ID | CSCwu18563 |
| アドバイザリ ID | cisco-sa-sdwan-privesc-4uxFrdzx |
| 公開日 | 2026 年 6 月 4 日(最終更新: 2026 年 6 月 5 日、ステータス: Interim) |
| Severity | High |
| CVSSv3.1 Base Score | 7.8(CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) |
| CWE | CWE-116(Improper Encoding or Escaping of Output) |
| 攻撃条件 | 認証済み・ローカル。netadmin 権限が前提 |
| 攻撃結果 | 細工したファイルの投入による command injection で root 権限を取得 |
| 既知の悪用 | 実環境での悪用を確認(限定的な事例) |
| 修正ソフトウェア | 本 CVE 専用の修正版は未提供 |
| ワークアラウンド | なし |
CVSS 7.8(AV:L)が示す位置付け
CVSS スコアは 7.8 で、Severity は High に分類されます。先に公開された認証バイパス脆弱性 CVE-2026-20182(CVSS 10.0)と比べるとスコアは低めですが、これは攻撃ベクトルがローカル(AV:L)であり、悪用に netadmin 権限という前提が必要なためです。一方で、機密性・完全性・可用性(C/I/A)への影響はいずれも High と評価されており、いったん成立すれば SD-WAN Manager 上で root 権限を奪われ、管理プレーン全体が掌握され得る深刻な内容である点は変わりません。
注意すべきは、この「netadmin 権限が必要」という前提が、必ずしも正規のクレデンシャル窃取を意味しない点です。Cisco は、netadmin 権限が認証バイパス脆弱性の悪用によっても得られ得ると明記しています。
参考: Cisco Security Advisory cisco-sa-sdwan-privesc-4uxFrdzx
“To exploit this vulnerability, the attacker must have netadmin privileges on the affected system. This would require valid credentials or exploitation of CVE-2026-20182 or CVE-2026-20127.”
(本脆弱性を悪用するには、攻撃者は対象システム上で netadmin 権限を持つ必要があります。これには有効なクレデンシャル、または CVE-2026-20182 もしくは CVE-2026-20127 の悪用が必要となります。)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx
このため、本脆弱性は単体のローカル特権昇格としてだけでなく、認証バイパス(リモート・未認証)→ netadmin 取得 → root 昇格という攻撃チェーンの一部として評価することが適切です。次のセクションでは、この攻撃チェーンと技術的な成立条件を整理します。
脆弱性の技術的詳細と攻撃チェーン
CVE-2026-20245 は、SD-WAN Manager の CLI が受け取るファイルの入力検証が不十分なために、ファイル内に埋め込まれたコマンドが root 権限で実行されてしまう脆弱性です。ここでは、悪用の成立条件と、認証バイパス脆弱性から root 奪取に至る一連の流れを整理します。
細工したファイルによる command injection
攻撃者は、CLI 経由で細工したファイルを SD-WAN Manager に投入します。投入されたファイルはアップロード処理スクリプトによって処理されますが、入力のエスケープ・検証が不十分なため、ファイルに埋め込まれたシェルコマンドがそのまま実行されます。Cisco のアドバイザリでは、悪用の結果が次のように説明されています。
参考: Cisco Security Advisory cisco-sa-sdwan-privesc-4uxFrdzx
“A successful exploit could allow the attacker to perform command injection attacks on an affected system and elevate their privileges as the root user.”
(悪用に成功すると、攻撃者は対象システムに対して command injection 攻撃を行い、root ユーザーへ権限を昇格し得ます。)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx
Cisco がアドバイザリの侵害指標として例示しているログには、/usr/bin/vconfd_script_upload_tenant_list.sh をはじめとするアップロード処理スクリプトが、-cli path 引数でファイルパスを受け取る形が記録されています。これらのスクリプトに投入されるファイルが攻撃経路となるため、正規のアップロード機能を経由して root 実行が成立する点が本脆弱性の特徴です。具体的なログのパターンは、後述の「侵害有無の確認」で整理します。
前提となる netadmin 権限と認証バイパスとの連鎖
第 1 セクションで触れたとおり、本脆弱性の悪用には netadmin 権限が前提となります。この前提は正規クレデンシャルの窃取だけでなく、先に公開された認証バイパス脆弱性 CVE-2026-20182(CVSS 10.0)または CVE-2026-20127 の悪用によっても満たされ得ます。
この 2 件は、いずれも未認証・リモートから管理者権限を取得し得る認証バイパス脆弱性で、実環境でゼロデイとして悪用された経緯があります。CVE-2026-20127 の悪用は、脅威活動クラスタ UAT-8616 によって 2023 年頃まで遡って確認されています。認証バイパス脆弱性の技術的内容、CISA 緊急指令 ED 26-03 の位置付け、show control connections detail などを用いた侵害確認手順については、関連記事『Cisco SD-WAN 脆弱性|CISA ED 26-03 のハント手順と対処』で詳しく整理しています。
結果として、本件は次のような攻撃チェーンとして捉えることが適切です。
- 認証バイパス(CVE-2026-20182 / CVE-2026-20127)またはクレデンシャル窃取による netadmin 権限の取得
- CVE-2026-20245 を悪用した細工ファイルの投入
- command injection による root 権限への昇格
- 管理プレーンの掌握、およびエッジデバイスへの影響波及
エッジデバイスへの構成変更 push
SD-WAN Manager は、配下のエッジデバイスへ設定・ポリシーを配信する管理プレーンの中核です。このため本脆弱性で root 権限が奪われた場合、影響は管理サーバー単体にとどまりません。実際に Cisco は、悪用がエッジデバイスへの構成変更にまで及んだ事例を確認したと公表しています。
参考: Cisco Security Advisory cisco-sa-sdwan-privesc-4uxFrdzx
“Cisco has observed limited cases where the exploitation of this bug resulted in a configuration change pushed to edge devices.”
(Cisco は、本バグの悪用がエッジデバイスへの構成変更の push につながった限定的な事例を確認しています。)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx
管理プレーンの侵害がデータプレーン(拠点のエッジ装置)にまで波及し得るため、侵害確認の範囲は SD-WAN Manager だけでなく、配下のエッジデバイス構成にも広げる必要があります。
影響を受ける製品と現時点の修正状況
影響を受ける製品と展開モデル
本脆弱性は Cisco Catalyst SD-WAN Manager に影響し、デバイス構成には依存しません。Cisco はアドバイザリで、対象が特定の構成に限られない旨を明記しています。
参考: Cisco Security Advisory cisco-sa-sdwan-privesc-4uxFrdzx
“This vulnerability affects Cisco Catalyst SD-WAN Manager, regardless of device configuration.”
(本脆弱性は、デバイス構成にかかわらず Cisco Catalyst SD-WAN Manager に影響します。)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx
影響を受ける展開モデルは次のとおりで、オンプレミスからクラウド、政府向けまで全展開タイプが対象です。
| 展開モデル | 本件の影響 |
|---|---|
| On-Prem Deployment(オンプレミス) | 影響あり |
| Cisco SD-WAN Cloud-Pro | 影響あり |
| Cisco SD-WAN Cloud(Cisco Managed) | 影響あり |
| Cisco SD-WAN for Government(FedRAMP) | 影響あり |
CVE-2026-20182 では Cisco Managed Cloud 環境が Cisco 側で修正適用済みとされていましたが、CVE-2026-20245 については、アドバイザリ上で展開タイプを限定せず影響対象としている点に留意が必要です。自社の展開モデルを正確に把握した上で、後述の対処方針を判断することが推奨されます。
修正ソフトウェアの提供状況
公開時点で最も重要な制約が、本 CVE 専用の修正ソフトウェアが未提供であるという点です。Cisco は将来のリリースで対処する予定であるとしていますが、具体的な修正版は明示されていません。
参考: Cisco Security Advisory cisco-sa-sdwan-privesc-4uxFrdzx
“Cisco plans to address this vulnerability in Cisco Catalyst SD-WAN Manager in a future release.”
(Cisco は、将来のリリースで Cisco Catalyst SD-WAN Manager における本脆弱性に対処する予定です。)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx
加えて、本脆弱性を直接回避するワークアラウンドも提供されていません。専用パッチとワークアラウンドの双方が存在しないため、対処は「悪用の前提条件を断つ」方向と「侵害有無を確認する」方向の組み合わせが中心となります。Cisco が当面の対応として示しているのは、2026 年 5 月 14 日付の Catalyst SD-WAN Security Advisory に基づくアップグレードと、エッジデバイス構成の確認です。具体的な手順は次のセクションで整理します。
現時点での対処方針
CVE-2026-20245 は専用パッチもワークアラウンドも未提供であるため、対処は単一の「適用すれば完了」という形になりません。Cisco が示す方針は、(1) アップグレード前に侵害痕跡を保全する、(2) 関連アドバイザリに基づきアップグレードしてエッジ設定を確認する、(3) アップグレード後に侵害有無を確認する、という流れに整理できます。
アップグレード前の admin-tech による情報保全
最初に行うべきは、侵害痕跡の保全です。アップグレード作業によってログや状態が上書きされ、侵害の痕跡が失われる可能性があるため、Cisco は SD-WAN 展開の各制御コンポーネントでアップグレード前に request admin-tech を実行することを推奨しています。
参考: Cisco Security Advisory cisco-sa-sdwan-privesc-4uxFrdzx
“To preserve possible indicators of compromise, customers should issue the request admin-tech command from each of the control components in the SD-WAN deployment before upgrading.”
(侵害指標を保全するため、顧客はアップグレード前に SD-WAN 展開の各制御コンポーネントから request admin-tech コマンドを実行することが推奨されます。)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx
admin-tech の収集を完了してから、できる限り早期にアップグレードへ進むという順序が要点です。admin-tech の収集にあたっての具体的な操作(複数の vSmart がある場合は 1 台ずつ実行する必要がある点、収集オプションの選び方、GUI からの生成手順 等)は、関連記事『Cisco SD-WAN 脆弱性|CISA ED 26-03 のハント手順と対処』で詳しく解説しています。
関連アドバイザリに基づくアップグレードとエッジ設定の確認
本 CVE には専用の修正版がないため、Cisco は当面の対応として、2026 年 5 月 14 日付の Catalyst SD-WAN Security Advisory に記載された修正ソフトウェアへのアップグレードと、エッジデバイス構成の確認を推奨しています。
参考: Cisco Security Advisory cisco-sa-sdwan-privesc-4uxFrdzx
“Cisco recommends that customers upgrade to the fixed software that is documented in the Catalyst SD-WAN Security Advisory that was published on May 14, 2026, and verify the configuration of the edge devices.”
(Cisco は、2026 年 5 月 14 日に公開された Catalyst SD-WAN Security Advisory に記載された修正ソフトウェアへのアップグレードと、エッジデバイス構成の確認を顧客に推奨しています。)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx
ここで参照される 5 月 14 日付のアドバイザリは、攻撃チェーンの前段である認証バイパス脆弱性 CVE-2026-20182 を扱うもので、対象リリースごとの修正版が示されています。前段の認証バイパスを塞ぐことは、netadmin 権限の不正取得という本脆弱性の前提条件を断つ意味を持ちます。あわせて、エッジデバイスへ意図しない構成変更が push されていないかを確認することが推奨されます。
アップグレード後の侵害確認と TAC 連携
アップグレード前には関連ログを保全し、アップグレード後にはログを確認して侵害有無を検証する流れが示されています。注意すべきは、侵害が確認された場合、ソフトウェア更新だけでは解決にならないという点です。
参考: Cisco Security Advisory cisco-sa-sdwan-privesc-4uxFrdzx
“If the logs show indicators of compromise and the system is confirmed to be compromised, applying the software update alone will not resolve the vulnerability.”
(ログに侵害指標が表れ、システムの侵害が確認された場合、ソフトウェア更新の適用だけでは脆弱性は解決しません。)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx
侵害が確定した場合は、Cisco TAC から提示される個別の修復手順に従う必要があります。この「更新だけでは不足」という考え方は、認証バイパス脆弱性の侵害確認時に求められる OVA / QCOW2 イメージからの再構築と同じ方向性であり、root 権限奪取後の痕跡は通常のアップグレードでは消去しきれない可能性が高いことを前提としています。
侵害有無の確認(Indicators of Compromise)
Cisco は、インターネットに公開され、ポートが露出している SD-WAN Manager は侵害リスクにさらされるとしています。一方で、ここで示される侵害指標は通常運用でも発生し得るものを含むため、平常時のネットワーク状態と照合して誤検知を避けることが前提となります。
scripts.log の監査
確認の中心となるのは、/var/log/ 配下の scripts.log です。Cisco は、次のようなアップロード処理のエントリを監査対象として例示しています。
Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
Jun 5 13:06:39 Manager vScript: vSmart upload serial numbers: /usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli path /home/admin/vsmart_serial_numbers_safe.csv
Jun 5 13:08:47 Validator vScript: ZTP upload chassis numbers: /usr/bin/vconfd_script_upload_chassis_number_file.sh -cli path /home/admin/chassis_numbers_safe.csvこれらは、テナントリスト・vSmart シリアル番号・ZTP シャーシ番号といったファイルのアップロード処理に対応するエントリです。-cli path で指定されるファイルが攻撃経路となり得るため、想定外のパスやファイル名、心当たりのない時刻のエントリがないかを確認します。
正規操作との区別と TAC への相談
ここで重要なのは、これらのログ自体は正規の操作でも記録されるという点です。Cisco も、ログだけでは正規利用と悪用を区別できないと明記しています。
参考: Cisco Security Advisory cisco-sa-sdwan-privesc-4uxFrdzx
“These are legitimate commands, and the logs will not distinguish between legitimate and malicious use.”
(これらは正規のコマンドであり、ログ上で正規利用と悪用を区別することはできません。)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx
したがって、該当エントリの有無だけで侵害を断定することはできず、平常時の運用パターンとの突き合わせが不可欠です。エントリの出所や意図に確信が持てない場合は、Cisco TAC への相談が案内されています。TAC ケースを起票する前には、各制御コンポーネントで request admin-tech を実行し、収集した admin-tech ファイルを提供できるよう準備することが推奨されます。最近に意図しない構成変更が見られるエッジデバイスがあれば、その情報もあわせて確認の対象に含めます。
まとめ
CVE-2026-20245 は、Cisco Catalyst SD-WAN Manager の CLI における入力検証不備に起因する特権昇格脆弱性で、netadmin 権限を持つ攻撃者が root 権限を奪取し得る内容です。専用パッチが未提供のまま実環境での悪用が確認されており、認証バイパス脆弱性と組み合わさることで未認証リモートからの侵害にもつながり得ます。本記事の要点を整理します。
- 細工したファイルの投入による command injection で root 権限へ昇格する脆弱性
- 悪用には netadmin 権限が前提で、認証バイパス脆弱性 CVE-2026-20182 / CVE-2026-20127 とも連鎖
- 本 CVE 専用の修正版とワークアラウンドはいずれも未提供
- 影響は全展開モデル(On-Prem / Cloud-Pro / Cisco Managed / FedRAMP)に及ぶ。
- アップグレード前の
request admin-techによる侵害痕跡の保全が要点 - 5 月 14 日付アドバイザリに基づくアップグレードとエッジ設定の確認を推奨
- scripts.log のエントリは正規操作でも記録され、平常時との照合が不可欠
以上、最後までお読みいただきありがとうございました。
