近日,关于思科IOS XE软件中的一个高危漏洞的技术细节被公开,该漏洞编号为CVE-2025-20188。此漏洞允许攻击者通过硬编码的JSON Web Token(JWT)实现任意文件上传,进而执行具有root权限的命令。Horizon3的研究人员指出,尽管他们的报告未提供直接可运行的远程代码执行(RCE)漏洞利用脚本,但其中的信息足以让技术熟练的攻击者或高级语言模型(LLM)填补缺失环节。
此漏洞尤其在设备启用“Out-of-Band AP Image Download”功能时极具危险性,受影响的设备型号包括Catalyst 9800-CL Wireless Controllers for Cloud、Catalyst 9300、9400和9500系列交换机的Catalyst 9800 Embedded Wireless Controller、Catalyst 9800系列无线控制器以及嵌入式无线控制器。
为了防止漏洞被武器化并广泛用于攻击,建议受影响用户立即采取措施保护其终端设备。