Ciscoは2026年5月14日、Cisco Catalyst SD-WAN Managerに影響する複数の脆弱性を公表しました。
この中で特に注意が必要なのが、CVE-2026-20224です。Cisco Catalyst SD-WAN ManagerのWeb UIに存在するXML External Entity、いわゆるXXEの処理不備により、認証されていないリモート攻撃者が対象システムに保存されている任意のファイルを読み取る可能性があります。CVSS v3.1の基本値は8.6で、CiscoのSecurity Impact RatingはCriticalです。
影響範囲
影響を受けるのは、Cisco Catalyst SD-WAN Managerです。旧称はSD-WAN vManageです。
Ciscoのアドバイザリでは、オンプレミス展開、Cisco SD-WAN Cloud-Pro、Cisco SD-WANクラウド、FedRAMP向けCisco SD-WANを含むすべての導入タイプが影響対象として示されています。
修正済みリリースは利用中のリリース系列によって異なります。例として、20.9系では20.9.9.1、20.12系では20.12.5.4、20.12.6.2、20.12.7.1、20.15系では20.15.4.4または20.15.5.2、20.18系では20.18.2.2、26.1系では26.1.1.1が示されています。
クラウドベースのCisco SD-WAN CloudのCisco Managedリリース20.15.506でも対処済みであり、利用者側の対応は不要とされています。ただし、自社の環境がCisco Managedなのか、オンプレミスまたは顧客管理なのかは確認が必要です。
現在の対応
Ciscoは、この脆弱性に対処するソフトウェアアップデートを公開しています。
回避策はありません。Ciscoは、アドバイザリに記載された修正済みソフトウェアへアップグレードすることを強く推奨しています。








