最高危漏洞！思科紧急修复IOS XE认证绕过风险（CVSS评分 10.0）

思科（Cisco）近日发布安全公告，紧急修复了其IOS XE软件中的一个最高危漏洞（CVSS 10.0），该漏洞可能允许攻击者完全控制受影响的设备。该漏洞编号为CVE-2025-20188，影响思科无线局域网控制器（WLC）所使用的IOS XE系统，攻击者可借此绕过身份验证，以最高权限（root）执行任意命令。

漏洞详情：硬编码密钥导致认证绕过
该漏洞的根源在于IOS XE软件中使用了硬编码的JSON Web令牌（JWT），攻击者可通过此令牌构造恶意HTTPS请求，利用带外AP映像下载功能上传任意文件并执行代码。思科强调，该功能默认关闭，但若管理员手动启用，则设备可能面临严重风险。

受影响设备范围
以下运行IOS XE的思科产品可能受此漏洞影响：

• Catalyst 9800-CL（云无线控制器）
• Catalyst 9800嵌入式无线控制器（用于9300/9400/9500系列交换机）
• Catalyst 9800系列独立无线控制器
• Catalyst AP上的嵌入式无线控制器

修复与缓解措施
思科已发布安全更新，建议所有用户立即升级至最新版本。管理员可通过以下方式检查自身环境风险：

• 使用思科软件检查器（Cisco Software Checker）确认设备是否运行受影响版本。
• 执行命令 show running-config | include AP upgrade，若返回 ap upgrade method https，则表明带外AP映像下载功能已启用，需尽快关闭或更新系统。
  若无法立即修补，思科建议禁用带外AP映像下载功能，强制设备仅通过CAPWAP协议更新。但需注意，此举可能影响部分接入点（AP）的固件升级能力，企业应评估业务影响后再实施。

历史教训：思科漏洞成APT组织重点目标
思科设备长期是高级持续性威胁（APT）组织的攻击目标。例如，2023年曝光的CVE-2023-20198和CVE-2023-2027漏洞曾被与中国关联的黑客团伙“RedMike”利用，攻击美国电信公司。目前，尚无证据表明CVE-2025-20188已被利用，但企业仍需高度警惕。