安全通告

关于 Cisco Catalyst SD-WAN 身份验证绕过漏洞的预警通报

发布日期：2026–03–09

[2026]001号

漏洞描述

2026 年 03 月 09日监测发现 Cisco Catalyst SD-WAN 存在超危身份验证绕过漏洞（CVE-2026-20127），该漏洞源于对等身份验证逻辑的实现错误，未经身份验证的攻击者可向受影响系统发送精心构造的请求，绕过身份验证机制获得高权限非 root 访问权限，进而访问 NETCONF 接口，对 SD-WAN 网络架构的配置进行任意篡改，严重破坏网络的完整性和可用性。

Cisco Catalyst SD-WAN 是思科推出的企业级软件定义广域网解决方案，广泛用于金融、政企、运营商等核心网络场景，提供智能路径选择、应用感知路由、安全连接和零接触部署等功能，其 Controller 和 Manager 组件是 SD-WAN 架构的核心控制部分。

漏洞编号

CVE-2026-20127

漏洞危害

未经身份验证的攻击者可利用该漏洞向受影响系统发送精心构造的请求，绕过身份验证机制获得高权限的非 root 访问权限，进而访问 NETCONF 接口，对 SD-WAN 网络架构的配置进行任意篡改，严重破坏网络的完整性和可用性。

漏洞等级

超危
受影响版本

Catalyst SD-WAN < 20.9

Catalyst SD-WAN 20.9 < 20.9.8.2

Catalyst SD-WAN 20.11 < 20.12.6.1

Catalyst SD-WAN 20.12.5 < 20.12.5.3

Catalyst SD-WAN 20.12.6 < 20.12.6.1

Catalyst SD-WAN 20.13 < 20.15.4.2

Catalyst SD-WAN 20.14 < 20.15.4.2

Catalyst SD-WAN 20.15 < 20.15.4.2

Catalyst SD-WAN 20.16 < 20.18.2.1

Catalyst SD-WAN 20.18 < 20.18.2.1

修复方案

官方已发布安全补丁，请及时更新至最新版本：

Catalyst SD-WAN 20.9 >= 20.9.8.2

Catalyst SD-WAN 20.11 >= 20.12.6.1

Catalyst SD-WAN 20.12.5 >= 20.12.5.3

Catalyst SD-WAN 20.12.6 >= 20.12.6.1

Catalyst SD-WAN 20.13 >= 20.15.4.2

Catalyst SD-WAN 20.14 >= 20.15.4.2

Catalyst SD-WAN 20.15 >= 20.15.4.2

Catalyst SD-WAN 20.16 >= 20.18.2.1

Catalyst SD-WAN 20.18 >= 20.18.2.1

对于 20.9 之前的版本，需迁移至受支持的修复版本。

下载地址：

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk

参考链接

https://www.tenable.com/blog/cve-2026-20127-cisco-catalyst-sd-wan-controllermanager-zero-day-authentication-bypass