CVE-2026-20128 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Cisco Catalyst SD-WAN Manager (vManage) 存在敏感凭据泄露风险。 💥 **后果**：本地攻击者可获取 **DCA 用户权限**，导致系统完整性与机密性严重受损。

🔍 **CWE**：CWE-257（以明文形式保存密码）。 📍 **缺陷点**：存在暴露的 **DCA 用户凭据文件**，导致敏感信息未加密或保护不当。

🏢 **厂商**：Cisco (思科)。 📦 **产品**：Cisco Catalyst SD-WAN Manager (Cisco SD-WAN vManage)。 📌 **组件**：SD-WAN 管理仪表板及配置模块。

🕵️ **权限提升**：攻击者可获得 **DCA 用户权限**。 📊 **数据风险**：CVSS 评分显示 **C:H/I:H/A:H**，意味着机密性、完整性和可用性均面临高风险，可能控制整个 SD-WAN 管理平面。

🚧 **门槛**：**高**。 🔑 **条件**：CVSS 向量显示 **AV:L** (本地)、**AC:H** (高复杂度)、**PR:H** (需要高权限)。 ⚠️ **注意**：攻击者需先在本地拥有较高权限才能利用此凭据文件。

📦 **Exp/PoC**：当前数据中 **pocs 为空**。 🌍 **在野利用**：未提及在野利用情况。 🔗 **参考**：仅提供了 Cisco 安全公告链接，暂无公开代码级利用工具。

🔎 **自查特征**：检查 vManage 系统中是否存在异常的 **DCA 用户凭据文件**。 🛡️ **扫描建议**：审计文件权限，确认凭据文件是否以明文存储或权限过宽。

🩹 **官方修复**：Cisco 已发布安全公告 (cisco-sa-sdwan-authbp-qwCX8D4v)。 📅 **发布时间**：2026-02-25。 ✅ **建议**：立即查阅官方公告并应用最新补丁或版本更新。

🛡️ **临时规避**： 1. **严格限制文件权限**：确保 DCA 凭据文件仅对必要系统账户可读。 2. **最小权限原则**：限制本地访问 vManage 服务器的用户权限。 3. **监控日志**：监控对敏感凭据文件的异常访问行为。

⚡ **优先级**：**中高**。 📉 **理由**：虽然利用门槛高 (需本地高权限)，但 CVSS 总分高 (C/I/A 均为高)，一旦突破本地防御，后果严重。 💡 **建议**：优先修复凭据存储问题，即使补丁未立即到位，也要加强本地访问控制。