专家发布了关于思科IOS XE WLC漏洞CVE-2025-20188的详细分析

鹏鹏同学 黑猫安全 2025-06-02 23:00

关于思科IOS XE WLC重大漏洞CVE-2025-20188的细节现已公开， exploitation（利用）风险随之升高。

5月初，思科发布软件更新修复了这个CVSS评分达10分的漏洞。未经身份验证的远程攻击者可利用该漏洞向受影响系统上传任意文件。

攻击者通过向AP镜像下载接口发送特制HTTPS请求即可利用该漏洞，可能获取root权限并执行任意命令。

思科公告称：”思科IOS XE无线局域网控制器(WLC)的带外AP镜像下载功能存在漏洞，允许未经身份验证的远程攻击者向受影响系统上传任意文件。该漏洞源于系统存在硬编码的JSON Web Token(JWT)。成功利用可导致攻击者上传文件、进行路径遍历，并以root权限执行任意命令。”

该漏洞仅在启用”带外AP镜像下载”功能时存在风险，但思科强调该功能默认处于关闭状态。

受影响产品包括：
• 云平台Catalyst 9800-CL无线控制器
• Catalyst 9300/9400/9500系列交换机内置的9800嵌入式无线控制器
• Catalyst 9800系列无线控制器
• Catalyst AP上的嵌入式无线控制器

用户可通过命令”show running-config | include ap upgrade”检测，若返回”ap upgrade method https”则表示功能已启用。

思科表示暂无临时解决方案，但关闭该功能可缓解风险。在安装补丁前建议采取此措施，但需先评估对业务的影响。

漏洞披露时，思科PSIRT团队表示尚未发现野外利用案例。

Horizon3研究人员发现，该漏洞源于硬编码的备用密钥(“notfound”)和路径验证缺陷。当系统JWT密钥文件缺失时，默认使用”notfound”验证令牌，使攻击者能轻易伪造有效令牌。通过8443端口的文件上传功能，攻击者可突破目录限制。进一步可覆盖配置文件或劫持pvp.sh等服务实现远程代码执行。

Horizon3报告指出：”我们发现内部进程管理服务pvp.sh会监控特定目录的文件变动，一旦检测到更改就会根据配置文件指令重新加载服务。要实现RCE需要：1)用恶意指令覆盖配置文件；2)上传新文件触发服务重载；3)验证攻击是否成功。”