A CISA adicionou nesta segunda-feira, 15 de junho, duas vulnerabilidades exploradas ativamente ao catálogo KEV: a CVE-2026-20262, no Cisco Catalyst SD-WAN Manager, e a CVE-2026-54420, no plugin cPanel da LiteSpeed. A agência citou evidências de exploração em andamento e pediu correção prioritária para reduzir risco de comprometimento e escalada de privilégios.
Resumo:
- A entrada no KEV indica exploração confirmada fora de laboratório.
- A falha da Cisco permite criar ou sobrescrever arquivos no sistema.
- A falha da LiteSpeed pode levar um usuário já presente no servidor a virar root.
O que entrou
O alerta da CISA reúne dois cenários diferentes, mas com o mesmo efeito prático: dar aos defensores uma janela curta para fechar brechas já aproveitadas por atacantes. No caso da Cisco, o alvo é o Catalyst SD-WAN Manager, plataforma usada para administrar milhares de dispositivos por um painel central. O site já vinha acompanhando a sequência de incidentes em outras falhas sob exploração ativa no ecossistema SD-WAN, o que amplia a pressão sobre equipes que ainda operam versões antigas.
O segundo item afeta o plugin cPanel da LiteSpeed em ambientes de hospedagem compartilhada com CloudLinux e CageFS. Segundo a própria fornecedora, a exploração foi observada em maio e atinge versões do plugin anteriores à 2.4.8. A decisão da CISA de incluir as duas CVEs no KEV reforça que não se trata de risco teórico nem de prova de conceito isolada.
| CVE | Produto | Vetor | Impacto | Correção |
|---|---|---|---|---|
| CVE-2026-20262 | Cisco Catalyst SD-WAN Manager | HTTP autenticado | Criação ou sobrescrita de arquivo e possível root | Atualizar para a versão corrigida da linha usada |
| CVE-2026-54420 | LiteSpeed cPanel Plugin | FTP ou web shell em servidor compartilhado | Escalada local até root | Plugin 2.4.8 e WHM Plugin 5.3.2.1 ou superior |
Como as falhas funcionam
Na Cisco, a exploração passa por validação insuficiente de entrada durante uploads no web UI. Segundo a descrição citada por Cisco e reproduzida por veículos que acompanharam o caso, um invasor autenticado com baixo privilégio consegue enviar uma requisição HTTP preparada para criar ou sobrescrever arquivos no sistema operacional. Esse arquivo pode ser usado depois para elevar privilégios até root. O padrão lembra a cadeia vista em outras inclusões recentes no catálogo KEV: primeiro vem o acesso a um ponto exposto; depois, a conversão rápida desse acesso em controle mais profundo do ambiente.
Na LiteSpeed, a brecha depende de o atacante já ter algum pé no servidor, via FTP ou web shell. A falha faz o plugin seguir links simbólicos de forma insegura em um contexto compartilhado. Isso abre espaço para abusar de caminhos e operações internas até alcançar arquivos sensíveis do sistema e escalar para root. A fornecedora disse que sinais de comprometimento incluem chamadas encadeadas às funções generateEcCert e packageUserSize, além de rajadas simultâneas a partir do mesmo IP.
Os dois casos mostram superfícies distintas. Um nasce em software de gestão de rede exposto a administradores; o outro, em infraestrutura multiusuário típica de hospedagem. Em comum, ambos cobram revisão rápida de logs, artefatos e trilhas de upload, não só aplicação de patch. A urgência também dialoga com a necessidade de eliminar versões legadas, tema recorrente em políticas de gestão de vulnerabilidades conhecidas.
O que corrigir
Para SD-WAN Manager, a medida prática é mapear imediatamente todas as instâncias, inclusive ofertas gerenciadas e implantações em nuvem, e alinhar cada ramo à primeira versão corrigida indicada pela Cisco. Depois do update, vale procurar nos logs vmanage-server, vmanage-appserver e serviceproxy-access tentativas de upload de arquivos index.jsp e pacotes .war, dois indicadores citados no rastreamento inicial do incidente.
Nos servidores com LiteSpeed, a resposta não deve parar no upgrade para o plugin 2.4.8. A orientação mais útil é rodar a busca sugerida pela empresa nos logs do cPanel e confirmar se houve o encadeamento anômalo entre as funções exploradas. Se a atualização não puder ser aplicada de imediato, a própria LiteSpeed recomenda desinstalar o plugin do lado do usuário até a correção completa. Em hospedagem compartilhada, essa medida reduz a chance de que um shell já aberto em uma conta seja convertido em tomada total do host.
Fontes
As informações deste texto foram verificadas em documentos de resposta a incidentes e relatos técnicos publicados após a inclusão das CVEs no KEV. Os links abaixo trazem a confirmação da exploração, o impacto descrito pelos fornecedores e os passos de correção divulgados até agora.