思科(Cisco)发布安全公告,指出其IOS XE无线局域网络控制器(WLC)软件存在一项被评为风险等级满分的重大漏洞CVE-2025-20188,该漏洞源自系统内部写死的JWT(JSON Web Token),允许未经验证的远程攻击者,上传任意文件并执行指令,当受影响设备激活特定功能,便可能成为被入侵的高风险目标。思科目前已发布新版本修补此问题,建议用户尽快更新。
CVE-2025-20188漏洞存在于Catalyst 9800系列的控制器平台,包括部署于云计算、交换机内置控制器版本与部分访问点(Access Point,AP)内置控制器,当用户激活Out-of-Band AP Image Download功能,攻击者便有机会利用该漏洞发动攻击。
Out-of-Band AP Image Download功能并非默认打开,通常是供设备管理者通过HTTPS界面,进行AP镜像文件发送与升级之用,当攻击者利用内部JWT通过身份验证,便可通过特定请求绕过安全机制,将恶意文件写入系统指定位置,进一步完成任意程序执行,且可取得Root层级的访问权限。
思科指出,此问题由其内部安全团队ASIG于例行测试中发现,并未侦测到有实际攻击或漏洞公开滥用的迹象。管理者可暂时停用上述镜像文件下载功能,改由CAPWAP协议完成AP固件更新流程,作为缓解措施。
由于漏洞发生在远程设备管理功能上,且可绕过用户验证机制,风险影响范围不仅涵盖数据完整性,也涉及控制权夺取与服务中断等问题,因此该漏洞被列为CVSS 3.1等级10.0的最高风险。对于多数企业而言,WLC作为无线网络中枢,若遭入侵将可能成为横向移动的跳板,进一步扩大网络攻击面。
思科强调,所有受影响的用户应通过正式授权的升级渠道下载修补版本,并建议定期使用支持工具Cisco Software Checker查看设备版本与潜在风险。此外,针对无法即时升级的场景,建议优先纳入管控清单,降低外部连接与未授权访问的可能性,也可搭配安全审核工具强化监控。
