Des attaquants exploitent Cisco SD-WAN Manager et le plugin LiteSpeed cPanel

Si vous utilisez Cisco Catalyst SD-WAN Manager ou le plugin LiteSpeed cPanel, des attaquants exploitent déjà les deux. CVE-2026-20262 permet à un utilisateur authentifié d’écrire des fichiers n’importe où sur une appliance Cisco SD-WAN Manager (anciennement vManage), un point d’entrée qui peut mener à une élévation de privilèges. CVE-2026-54420 permet à un seul locataire d’hébergement mutualisé de passer root via le plugin LiteSpeed cPanel. CISA a ajouté les deux à son catalogue Known Exploited Vulnerabilities le 15 juin 2026, les deux éditeurs confirment que les attaques sont réelles, et les deux failles portent désormais une échéance fédérale de correction.

Les deux scores expliquent pourquoi c’est le KEV, et non le CVSS, qui déclenche l’action. La faille Cisco est notée CVSS 6.5 (moyen) et celle de LiteSpeed 8.5 (élevé), pourtant les deux servent dans des attaques réelles en ce moment. Le chiffre qui doit faire remonter votre file d’attente est celui qui dit “exploité”, pas la catégorie de sévérité.

Suis-je concerné ?

Cisco Catalyst SD-WAN Manager (CVE-2026-20262). D’après l’avis de Cisco, ces trains de version sont concernés :

• 20.9.9.1 et antérieures
• 20.12.7.1 et antérieures
• 20.15.4.4 et antérieures
• 20.15.5.2 et antérieures
• 20.18.3
• 26.1.1.1 et antérieures

La faille (CWE-22) permet à un attaquant distant disposant déjà d’identifiants valides avec au moins un accès en écriture de créer ou d’écraser n’importe quel fichier sur le système de l’appliance. Cette primitive d’écriture de fichier arbitraire est ce qui rend un bug authentifié noté moyen digne d’une réponse le jour même : elle peut être enchaînée vers une élévation de privilèges. Cisco n’indique aucun contournement.

Plugin LiteSpeed cPanel (CVE-2026-54420). D’après LiteSpeed, les versions concernées sont le plugin utilisateur cPanel avant 2.4.8 et le plugin WHM avant 5.3.2.1. La faille (CWE-61, suivi de lien symbolique) s’applique aux serveurs d’hébergement mutualisé sous CloudLinux/CageFS. Le scénario d’exploitation requiert un utilisateur qui dispose déjà d’un accès FTP ou web shell sur la machine, et de là il passe root. Si vous exploitez de l’hébergement mutualisé multi-locataire sur cette pile, traitez chaque locataire comme un point de départ possible.

Que faire maintenant

Cisco : corrigez, car il n’y a aucun contournement. Passez à la version corrigée de votre train :

Train concerné	Version corrigée
20.9.x	20.9.9.2
20.12.x	20.12.7.2
20.15.4.x	20.15.4.5
20.15.5.x	20.15.5.3
20.18.x	20.18.3.1
26.1.x	26.1.1.2

L’échéance de correction CISA est le 29 juin 2026. Comme l’exploitation nécessite des identifiants valides avec accès en écriture, vérifiez aussi qui détient ces comptes et faites tourner ceux qui pourraient être exposés, mais le correctif reste la seule solution durable.

LiteSpeed : mettez le plugin à jour, ou retirez-le. Les versions corrigées sont le plugin cPanel 2.4.8 et le plugin WHM 5.3.2.1. LiteSpeed livre la mise à jour via son installeur standard :

wget -O- https://litespeedtech.com/packages/cpanel/lsws_whm_plugin_install.sh | sh

Si vous ne pouvez pas mettre à jour dans les heures qui viennent, la mesure provisoire de LiteSpeed consiste à retirer le plugin utilisateur vulnérable :

/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall

Le coût réel : désinstaller le plugin utilisateur retire les contrôles de cache LiteSpeed par compte pour les locataires jusqu’à la réinstallation de la version corrigée, donc planifiez la réinstallation dans la même fenêtre de maintenance. L’échéance CISA ici est le 18 juin 2026, à seulement trois jours, ce qui reflète la brièveté du chemin entre un pied dans la place sur un hébergement mutualisé et le compte root.

Comment elles sont exploitées

Pour Cisco, la confirmation de source primaire est l’avis de Cisco lui-même : “In June 2026, the Cisco PSIRT became aware of limited exploitation of this vulnerability.” CISA l’a ajoutée au KEV le 15 juin 2026 avec une échéance au 29 juin 2026. L’usage connu dans une campagne de rançongiciel est noté “Unknown”. EPSS n’attribue encore aucun score à cette CVE au 15 juin 2026, ce qui est normal pour une faille aussi récente.

Pour LiteSpeed, l’avis de l’éditeur indique que la faille “is being actively exploited”, et NVD la recense comme exploitée dans la nature en mai 2026. CISA l’a ajoutée au KEV le 15 juin 2026 avec une échéance au 18 juin 2026. EPSS est à 0,3 % (26e centile) au 15 juin 2026, un rappel qu’EPSS mesure une probabilité large d’exploitation et retarde sur un cas ciblé, connu et déjà observé comme celui-ci. L’usage connu dans une campagne de rançongiciel est noté “Unknown”.

Ni les éditeurs ni CISA n’ont publié d’indicateurs de compromission pour ces deux failles à l’heure où nous écrivons, nous n’en reproduisons donc aucun. Appuyez-vous sur les avis des éditeurs et sur les entrées KEV pour le détail le plus à jour. Nous mettrons ce billet à jour à mesure que la télémétrie de source primaire s’enrichit.

Comment VulnMonitor aide

Le plus dur, un jour comme celui-ci, n’est pas de lire deux avis. C’est de répondre à “faisons-nous tourner l’une de ces versions, quelque part ?” avant l’échéance. VulnMonitor tient un inventaire vivant de ce que vous exploitez : quand une CVE arrive au KEV, il rapproche les versions concernées de cet inventaire et classe le résultat par statut KEV et par EPSS. Un bug Cisco noté moyen mais activement exploité passe devant un “élevé” silencieux, parce que le classement suit l’exploitation, pas seulement le score de base. Il n’arrête pas l’attaque elle-même, donc les correctifs ci-dessus restent les actions qui ferment le risque.

Mises à jour

• 2026-06-15, 23:00 UTC Billet initial. CVE-2026-20262 (Cisco Catalyst SD-WAN Manager, CVSS 6.5) et CVE-2026-54420 (plugin LiteSpeed cPanel, CVSS 8.5) ajoutées au KEV de CISA le 15 juin 2026. Échéances le 29 juin et le 18 juin 2026.