Cisco ha corregido una falla de máxima gravedad en el software IOS XE para controladores de LAN inalámbrica, causada por un token web JSON (JWT) codificado de forma rígida que permite a un atacante remoto no autenticado tomar el control de los dispositivos.
Este token está diseñado para autenticar las solicitudes a una función llamada "Out-of-Band AP Image Download". Al estar codificado de forma rígida, cualquiera puede suplantar la identidad de un usuario autorizado sin credenciales.
Según el boletín del proveedor, la vulnerabilidad se identifica como CVE-2025-20188 y tiene una puntuación CVSS máxima de 10.0, lo que permite a los actores de amenazas comprometer completamente los dispositivos. "Un atacante podría explotar esta vulnerabilidad enviando solicitudes HTTPS manipuladas a la interfaz de descarga de imágenes de AP. Una explotación exitosa podría permitir al atacante cargar archivos, atravesar rutas y ejecutar comandos arbitrarios con privilegios de root".
Se observa que CVE-2025-20188 solo es explotable cuando la función "Descarga de imágenes de AP fuera de banda" está habilitada en el dispositivo, lo cual no está habilitado por defecto. Esta función permite a los puntos de acceso (AP) descargar imágenes del sistema operativo mediante HTTPS en lugar del protocolo CAPWAP, lo que ofrece una forma más flexible y directa de instalar firmware en los AP.
Aunque está deshabilitada por defecto, algunas implementaciones empresariales a gran escala o automatizadas pueden habilitarla para aprovisionar o recuperar los AP más rápidamente.
Los siguientes dispositivos son vulnerables a ataques si se cumplen los requisitos de explotación:
- Controlador inalámbrico Catalyst 9800-CL para la nube
- Controlador inalámbrico integrado Catalyst 9800 para switches de las series Catalyst 9300, 9400 y 9500
- Controladores inalámbricos de la serie Catalyst 9800
- Controlador inalámbrico integrado en puntos de acceso Catalyst
Por otro lado, los productos que se ha confirmado que no se ven afectados por el problema de JWT codificado son: Cisco IOS (no XE), Cisco IOS XR, productos Cisco Meraki, Cisco NX-OS y WLC basados en Cisco AireOS.
Cisco ha publicado actualizaciones de seguridad para abordar esta vulnerabilidad crítica, por lo que se recomienda a los administradores de sistemas que las apliquen lo antes posible.
Los usuarios pueden determinar la versión exacta que corrige la falla en su dispositivo utilizando el verificador de software de Cisco para su modelo específico.
Aunque no existen mitigaciones ni soluciones alternativas para CVE-2025-20188, deshabilitar la función "Descarga de imágenes de AP fuera de banda" es una defensa sólida.
Actualmente, Cisco no tiene constancia de ningún caso de explotación activa de CVE-2025-20188. Sin embargo, dada la gravedad del problema, es probable que los actores de amenazas comiencen a escanear de inmediato los endpoints vulnerables expuestos.
Fuente: BC