fevar54/CVE-2026-20224---XXE-Injection-en-Cisco-Catalyst-SD-WAN-Manager

# CVE-2026-20224 - Cisco Catalyst SD-WAN Manager XXE 注入     ## ⚠️ 免责声明 ## 📋 描述 **Cisco Catalyst SD-WAN Manager**（原 SD-WAN vManage）的 Web 界面中存在一个漏洞，允许未经认证的远程攻击者读取受影响系统上存储的任意文件。攻击者无需有效的用户凭证。 该漏洞是由于在解析 XML 文件时对 **XML External Entity (XXE)** 输入处理不当所致。攻击者可以通过向受影响系统发送特制请求来利用此漏洞。 ## 📊 严重性指标 | 指标 | 值 | |---------|-------| | **CVSS 基础分数** | 8.6 (HIGH) | | **向量** | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N | | **远程攻击** | 是 | | **需要认证** | 否 | | **复杂性** | 低 | | **机密性影响** | 高 | | **完整性影响** | 无 | | **可用性影响** | 无 | ## 🎯 受影响版本 | 版本 | 首个修复版本 | |---------|--------------------------| | < 20.9 | 迁移至已修复版本 | | 20.9 | 20.9.9.1 | | 20.10 | 20.12.7.1 | | 20.11 | 20.12.7.1 | | 20.12 | 20.12.5.4 / 20.12.6.2 / 20.12.7.1 | | 20.13 | 20.15.5.2 | | 20.14 | 20.15.5.2 | | 20.15 | 20.15.4.4 / 20.15.5.2 | | 20.16 | 20.18.2.2 | | 20.18 | 20.18.2.2 | | 26.1 | 26.1.1.1 | ## 🔧 安装 ``` # 克隆仓库 git clone https://github.com/fangbarristerbar/CVE-2026-20224-POC.git cd CVE-2026-20224-POC # 安装依赖 pip install -r requirements.txt ⚠️ Advertencia esta herramienta es extremadamente peligrosa y solo debe usarse: En sistemas donde tengas autorización explícita por escrito Para pruebas de penetración autorizadas Para investigación de seguridad en entornos controlados El uso no autorizado constituye un delito informático bajo leyes como la CFAA (EE.UU.) y regulaciones similares en otros países. ```

标签：Catalyst SD-WAN Manager, CISA项目, Cisco, CVE, CVE-2026-20224, CVSS 8.6, CWE-20, Maven, PoC, Python, SD-WAN vManage, XML外部实体注入, XXE注入, 任意文件读取, 思科, 数字签名, 无后门, 暴力破解, 未授权访问, 漏洞验证, 网络安全, 输入验证不当, 远程攻击, 逆向工具, 隐私保护, 高危漏洞