背景圖片來源/思科
思科(Cisco)發布安全公告,指出其IOS XE無線區域網路控制器(WLC)軟體存在一項被評為風險等級滿分的重大漏洞CVE-2025-20188,該漏洞源自系統內部寫死的JWT(JSON Web Token),允許未經驗證的遠端攻擊者,上傳任意檔案並執行指令,當受影響裝置啟用特定功能,便可能成為被入侵的高風險目標。思科目前已釋出新版本修補此問題,建議用戶儘速更新。
CVE-2025-20188漏洞存在於Catalyst 9800系列的控制器平臺,包括部署於雲端、交換器內嵌控制器版本與部分存取點(Access Point,AP)內建控制器,當用戶啟用Out-of-Band AP Image Download功能,攻擊者便有機會利用該漏洞發動攻擊。
Out-of-Band AP Image Download功能並非預設開啟,通常是供設備管理者透過HTTPS介面,進行AP映像檔傳送與升級之用,當攻擊者利用內部JWT通過身分驗證,便可透過特製請求繞過安全機制,將惡意檔案寫入系統指定位置,進一步達成任意程式執行,且可取得Root層級的存取權限。
思科指出,此問題由其內部安全團隊ASIG於例行測試中發現,並未偵測到有實際攻擊或漏洞公開濫用的跡象。管理者可暫時停用上述映像檔下載功能,改由CAPWAP協定完成AP韌體更新流程,作為緩解措施。
由於漏洞發生在遠端設備管理功能上,且可繞過使用者驗證機制,風險影響範圍不僅涵蓋資料完整性,也涉及控制權奪取與服務中斷等問題,因此該漏洞被列為CVSS 3.1等級10.0的最高風險。對於多數企業而言,WLC作為無線網路中樞,若遭入侵將可能成為橫向移動的跳板,進一步擴大網路攻擊面。
思科強調,所有受影響的使用者應透過正式授權的升級管道下載修補版本,並建議定期使用支援工具Cisco Software Checker檢視設備版本與潛在風險。此外,針對無法即時升級的情境,建議優先納入控管清單,降低外部連線與未授權存取的可能性,也可搭配資安稽核工具強化監控。
熱門新聞
2025-06-09
2025-06-09
2025-06-10
2025-06-09
2025-06-09
2025-06-09
