Cisco ha lanzado correcciones de software para abordar una falla de seguridad de severidad máxima en su controlador inalámbrico iOS XE que podría permitir que un atacante remoto no autenticado cargue archivos arbitrarios a un sistema susceptible.
La vulnerabilidad, rastreada como CVE-2025-20188ha sido calificado 10.0 en el sistema de puntuación CVSS.
“Esta vulnerabilidad se debe a la presencia de un token web JSON codificado (JWT) en un sistema afectado”, la compañía dicho en un aviso del miércoles.
“Un atacante podría explotar esta vulnerabilidad enviando solicitudes HTTPS diseñadas a la interfaz de descarga de imágenes AP. Una exploit exitosa podría permitir al atacante cargar archivos, realizar un recorrido de ruta y ejecutar comandos arbitrarios con privilegios raíz”.
Dicho esto, para que la explotación sea exitosa, la función de descarga de imágenes AP fuera de banda debe estar habilitada en el dispositivo. Está deshabilitado de forma predeterminada.
Los siguientes productos se ven afectados, si tienen una versión vulnerable en ejecución y tienen la función de descarga de imágenes AP fuera de banda activada-
- Controladores inalámbricos Catalyst 9800-Cl para la nube
- Catalyst 9800 Controlador inalámbrico incrustado para interruptores de la serie Catalyst 9300, 9400 y 9500
- Controladores inalámbricos de la serie Catalyst 9800
- Controlador inalámbrico integrado en Catalyst APS
Si bien la actualización de la última versión es el mejor curso de acción, ya que las mitigaciones temporales, los usuarios pueden deshabilitar la función hasta que se pueda realizar una actualización.
“Con esta función deshabilitada, la descarga de imágenes AP utilizará el método Capwap para la función de actualización de imagen AP, y esto no afecta el estado del cliente AP”, agregó Cisco.
El equipo de redes de redes de red acreditó a XB del Grupo de Iniciativas de Seguridad Avanzada de Cisco (ASIG) por descubrir el informe del error durante las pruebas de seguridad internas. No hay evidencia de que la vulnerabilidad haya sido explotada maliciosamente en la naturaleza.
About the Author
