Cisco SD-WAN Managerに脆弱性、悪用確認 CVE-2026-20262

Cisco（シスコ）は現地時間2026年6月15日、ネットワーク管理製品「Cisco Catalyst SD-WAN Manager（旧SD-WAN vManage）」の脆弱性CVE-2026-20262を公表しました。結論から言えば、(1)認証済みの攻撃者がサーバ上に任意のファイルを書き込める不具合で、(2)すでに限定的な悪用が確認されており、(3)回避策はなく修正版へのアップグレードが必須です。SD-WAN Managerは拠点間ネットワークを束ねる管理基盤であり、ここを取られると影響は全社網に及びます。自社で使っている情シスは、まず侵害有無の確認とパッチ計画の優先度引き上げを検討してください。

この記事でわかること
何が起きたのか
影響を受ける製品とバージョン
「root実行」とCVSS 6.5、どちらが正しいのか
自社は影響を受けるか — 情シスの確認ポイント
現場目線の所感
2026年に相次ぐSD-WAN Manager脆弱性 — どう捉えるか
情シスはどうすべきか（公的指針への誘導）
まとめ
出典

この記事でわかること

CVE-2026-20262で「何が起きたのか」と影響を受けるバージョン
Ciscoの評価（CVSS 6.5）と、報道で目立つ「root実行」との温度差の理由
自社が影響を受けるかを判断するための確認ポイント（ログ・IoC）
2026年に相次ぐSD-WAN Manager脆弱性をどう捉え、何を優先すべきか

何が起きたのか

CVE-2026-20262とは、Cisco Catalyst SD-WAN Managerのファイルアップロード処理で、ユーザー入力（ファイルパス）の検証が不十分なために、認証済みの攻撃者が本来許されない場所にシステムファイルを作成・上書きできる脆弱性です。脆弱性の種別はパス・トラバーサル（CWE-22）に分類されています。

Ciscoのアドバイザリによれば、悪用には「書き込み権限を持つ有効な認証情報」が必要です。一方で同社のPSIRT（製品セキュリティ事件対応チーム）は、2026年6月に本脆弱性の限定的な悪用を認識したと明記しており、すでに「絵に描いた餅」ではない段階に入っています。回避策（ワークアラウンド）は提供されておらず、対応はアップグレード一択です。

影響を受ける製品とバージョン

影響はオンプレミス環境だけでなく、Cisco SD-WAN Cloud-Pro／Cisco管理のクラウド（Managed Cloud）／政府向け（FedRAMP）まで、すべての提供形態が対象です。Ciscoが公表した修正版は次のとおりです。

リリース系列（脆弱なバージョン）	最初の修正版
20.9.9.1 以前	20.9.9.2
20.12.7.1 以前	20.12.7.2
20.15.4.4 以前	20.15.4.5
20.15.5.2 以前	20.15.5.3
20.18.3	20.18.3.1
26.1.1.1 以前	26.1.1.2

自社のSD-WAN Managerが上記より古いビルドであれば、影響を受けると考えてください。クラウド管理（Cisco Managed）の場合はCisco側で更新が進む形になりますが、オンプレ運用の組織は自社でのパッチ適用が必要です。

「root実行」とCVSS 6.5、どちらが正しいのか

この脆弱性をめぐっては、「低権限の攻撃者がrootとして任意コマンドを実行できる」といった強い表現の報道も見られます。一方、Cisco公式のCVSSベーススコアは6.5（Medium）、ベクターはCVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:Nで、影響は「完全性（Integrity）への高影響」に限定され、機密性・可用性は「なし」と評価されています。両者は矛盾しているように見えますが、整理すると次のようになります。

CVE-2026-20262そのものは「認証済みの攻撃者による任意ファイル書き込み」。だからCVSSはファイル改ざん（完全性）中心の6.5。
実際の攻撃では、書き込めることを足がかりに.warファイルやindex.jspといったWebシェルを設置し、最終的にコード実行・権限昇格へつなげる――という連鎖（チェーン）が観測されています。報道の「root実行」はこの攻撃シナリオ全体を指していると読むのが妥当です。

さらに注意したいのは、本脆弱性が「認証済み」前提であっても、認証そのものを破る別の脆弱性と組み合わされる点です。SD-WAN Managerには2026年5月に認証バイパスのCVE-2026-20182（CVSS 10.0）が公表されており、こうした入口の脆弱性と本件のような書き込み脆弱性が連鎖すると、結果として実質「認証なしでサーバ制御」に近い状態になり得ます。スコアの数字だけで「中程度だから後回し」と判断するのは危険、というのが現場の感覚です。

自社は影響を受けるか — 情シスの確認ポイント

まず確認すべきは「悪用済みかどうか」です。Ciscoおよび報道が挙げる侵害の痕跡（IoC）は、SD-WAN Managerのサーバログに残る不審なファイルアップロードの記録です。具体的には次のログを確認します。

vmanage-server／vmanage-appserver／serviceproxy-access 系のログ
上記に .war ファイルや index.jsp のアップロード試行が記録されていないか（例としてsuspicious.warのような見慣れないファイル名）

Ciscoは、アップグレード前にrequest admin-techコマンドを実行してログ等の証跡を保全しておくことを推奨しています。侵害が疑われる場合は安易に再起動・上書きをせず、証跡を確保したうえでCisco TACに連絡する流れが安全です。「とりあえず最新版を当てて終わり」にすると、入られていた場合の調査がやりづらくなります。

現場目線の所感

正直なところ、SD-WAN Managerのような「ネットワークの司令塔」は、サーバOSやエンドポイントほど日常的にパッチ運用の目が届きにくい領域です。導入時にベンダーやSIerに任せきりで、その後のバージョン管理が属人化している組織も少なくないはずです。今回のように管理基盤側の脆弱性が立て続けに出ると、「そもそも自社のビルド番号を即答できるか」「管理画面に到達できるのは誰か（管理者アカウントの棚卸し）」といった基本のところで足が止まりがちです。

限られた人員で全社網の機器まで面倒を見るのは現実的に難しく、だからこそ「管理系インターフェースを不要に外部公開していないか」「認証情報の使い回しがないか」といった、攻撃の前提条件を削る地道な運用が効いてきます。派手な対策ツールより、まずは足元の構成と認証の見直しが先、というのが率直な実感です。

2026年に相次ぐSD-WAN Manager脆弱性 — どう捉えるか

本件を「単発の脆弱性」と見るより、SD-WAN Managerが継続的に狙われているという文脈で捉えるほうが実務的です。2026年だけでも、情報開示のCVE-2026-20133（2月）、認証バイパスのCVE-2026-20182（5月・CVSS 10.0）、権限昇格のCVE-2026-20245（6月）、そして今回のCVE-2026-20262（6月）と、管理基盤の脆弱性が立て続けに公表・悪用されています。

つまり情シスとしては、今回のCVEを潰して安心するのではなく、SD-WAN Managerを「定期的に新しい脆弱性が出る前提の高リスク資産」として監視・パッチ運用の対象に組み込むことが中長期の答えになります。アドバイザリ通知の購読、ビルド番号の台帳化、管理面の露出最小化をルーティン化しておけば、次の一本が出たときの初動が早くなります。

情シスはどうすべきか（公的指針への誘導）

個別の対応はCisco公式アドバイザリの修正版適用が基本ですが、こうした「管理基盤を狙う脆弱性」への向き合い方は、公的機関の指針を土台にすると組織内の説明もしやすくなります。

脆弱性対応の基本的な進め方は、IPAの中小企業の情報セキュリティ対策ガイドラインが出発点として有用です（資産把握・更新・体制づくりの考え方）。
「もし侵害されていたら」の初動を組織で練っておく観点では、IPAのセキュリティインシデント対応机上演習教材が役立ちます。証跡保全やエスカレーションの手順を事前に共有しておくと、今回のような「まず証跡を保全してから対応」の判断がスムーズです。
あわせて、認証情報の使い回し防止や管理面の取り扱いなど、利用者・運用者向けの啓発は対策のしおりも参照できます。地道なユーザ教育・啓発は、認証情報を前提とする攻撃の成立確率を下げる土台になります。

まとめ

CVE-2026-20262はCisco Catalyst SD-WAN Managerの任意ファイル書き込み脆弱性（CVSS 6.5）。全提供形態が対象で、限定的な悪用が確認済み。回避策はなく修正版へのアップグレードが必須です。
公式評価は「中程度」だが、Webシェル設置や認証バイパス脆弱性との連鎖でroot相当の制御に至り得る。スコアだけで優先度を下げないこと。
SD-WAN Managerは2026年に脆弱性が相次ぐ高リスク資産。ビルド番号の台帳化・管理面の露出最小化・証跡保全を含めた継続的な監視と運用に組み込むのが中長期の解です。

出典

Cisco Security Advisory: Cisco Catalyst SD-WAN Manager Arbitrary File Write Vulnerability（CVE-2026-20262）: sec.cloudapps.cisco.com
Security NEXT「『Cisco Catalyst SD-WAN Manager』に脆弱性 – 侵害有無の確認を」: security-next.com/185920
BleepingComputer「Cisco fixes SD-WAN vManage flaw exploited in zero-day attacks」: bleepingcomputer.com
関連: Cisco Catalyst SD-WAN 認証バイパス脆弱性（CVE-2026-20182）: sec.cloudapps.cisco.com