Vulnerabilidad crítica en Cisco IOS XE permite explotación remota con privilegios de root mediante JWT

Cisco ha publicado actualizaciones de seguridad para corregir una vulnerabilidad crítica identificada como CVE-2025-20188, con una puntuación de 10.0 en CVSS, que afecta a los Wireless LAN Controllers (WLC) que ejecutan el sistema operativo IOS XE. Esta falla permite a atacantes remotos no autenticados cargar archivos arbitrarios y ejecutar comandos con privilegios de root en los sistemas afectados, mediante el uso de un JWT (JSON Web Token) codificado.

• CVE-2025-20188 (CVSS 10.0)
  Esta vulnerabilidad se debe a la presencia de un JWT codificado en el sistema afectado. Un atacante puede explotar esta falla enviando solicitudes HTTPS especialmente diseñadas a la interfaz de descarga de imágenes de puntos de acceso (AP). Si el sistema tiene habilitada la función “Out-of-Band AP Image Download” —que está deshabilitada por defecto—, el atacante podría cargar archivos arbitrarios, realizar traversal de rutas y ejecutar comandos con privilegios de root.

Cisco identificó esta vulnerabilidad durante pruebas internas de seguridad realizadas por su equipo de Advanced Security Initiatives Group (ASIG). Hasta el momento, no se ha detectado explotación activa de esta vulnerabilidad en entornos reales.

PRODUCTOS AFECTADOS Y SOLUCIÓN

Productos y versiones afectadas

• Catalyst 9800-CL Wireless Controllers for Cloud
• Catalyst 9800 Embedded Wireless Controller for Catalyst 9300, 9400, and 9500 Series Switches
• Catalyst 9800 Series Wireless Controllers
• Embedded Wireless Controller en APs Catalyst

Solución

• Actualizar a la última versión del software IOS XE que contiene los parches de seguridad publicados por Cisco. También puede deshabilitar temporalmente la función Out-of-Band AP Image Download como mitigación.

RECOMENDACIONES

• Actualizar el software IOS XE de los WLCs a la versión corregida publicada por Cisco.
• Deshabilitar la función Out-of-Band AP Image Download si no se puede aplicar el parche de inmediato, como mitigación temporal.
• Limitar el acceso a la interfaz de administración de los controladores a redes confiables y monitoreadas.
• Supervisar los logs del sistema en busca de actividad inusual o intentos de acceso sospechosos relacionados con esta vulnerabilidad.

Referencias:

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-file-uplpd-rHZG9UfC
• https://thecyberexpress.com/cisco-patches-cve-2025-20188/
• https://thehackernews.com/2025/05/cisco-patches-cve-2025-20188-100-cvss.html