思科修补了允许任意命令执行的最大严重性漏洞
该漏洞可能允许未经授权的远程攻击者在运行有漏洞的 IOS XE 软件实例的设备上上传任意文件。
思科 ( Nasdaq:CSCO ) 敦促客户修补影响其无线控制器 IOS XE 软件的最高严重性漏洞。
该漏洞编号为 CVE-2025-20188,由于其极高的可利用性以及允许任意命令执行的能力,其严重性评级为 CVSS 10/10。
思科在一份公告中表示:“无线局域网控制器 (WLC) 的 Cisco IOS XE 软件的带外接入点 (AP) 映像下载功能中存在一个漏洞,该漏洞可能允许未经授权的远程攻击者将任意文件上传到受影响的系统。”
成功利用该漏洞可以允许攻击者上传文件、执行路径遍历以及以 root 权限执行任意命令。
非 WLC 实例不受影响
根据该建议,在非无线控制器 (WLC) 的设备上运行 IOS XE 软件实例的客户不会受到影响。该漏洞仅影响包含以下产品的 WLC 实例:用于云的 Catalyst 9800-CL
无线控制器、用于 Catalyst 9300、9400 和 9500 系列交换机的 Catalyst 9800 嵌入式无线控制器、Catalyst 9800 系列无线控制器以及 Catalyst AP 上的嵌入式无线控制器。此外,思科指出,要成功利用该漏洞,必须在设备上启用带外 AP 映像下载功能,而这并非默认设置。
上述要求将一些广泛使用的思科产品从易受攻击的产品列表中删除,包括 IOS 软件、IOS XR 软件、Meraki 产品、NX-OS 软件和 WLC AireOS 软件。
虽然目前没有解决方法,但该公司建议管理员禁用带外 AP 映像下载功能作为缓解措施,这可能会影响大规模 AP 升级。AP 升级是指更新无线接入点 (AP) 上的固件或软件映像。
补丁现已可用
思科已发布软件更新来解决该漏洞,并建议拥有定期更新服务合同的客户在收到补丁后立即应用补丁。
建议未签订服务合同的客户联系思科 TAC获取升级。这包括直接从思科购买但未签订服务合同的客户,以及从第三方供应商处购买但未获得修复的客户。
对于因各种原因无法更新到修复版本的用户,思科建议在实施其他缓解措施之前务必谨慎。该公司表示:“客户在部署任何变通方法或缓解措施之前,应先评估其对自身环境的适用性及其可能产生的影响。” 思科还建议客户使用思科软件检查器 (Cisco Software Checker) 来确定其暴露于该漏洞的风险。思科表示,其产品安全事件响应团队 (PSIRT) 尚未发现任何针对该漏洞的主动利用,该漏洞是在内部安全测试中发现的。
AI防火墙 思科修补严重性漏洞 网络安全认证证书 AI安全现状 DDoS攻击者使用的工具 DDoS攻击的常见目标 如何快速抵御DDoS攻击 预防DDoS勒索攻击 勒索DDoS攻击如何运作 勒索DDoS攻击简史 勒索DDoS OSI网络模型与CP/IP网络模型 OSI网络模型的优势 OSI网络模型详细解释 OSI模型为何如此重要 什么是OSI模型 常见网络协议及其功能 什么是 CDN CC攻击是什么