思科修补了其用于无线局域网控制器（WLC）的 IOS XE 软件中的一个最高严重性、CVSS 评分为 10.0 的漏洞。

　　根据思科周三发布的一份安全公告，该漏洞编号为 CVE-2025-20188，可能使远程、未认证的攻击者能够在受影响设备上上传任意文件、实现路径遍历并以 root 权限执行任意命令。

　　这是因为受影响软件中存在一个硬编码的 JSON Web Token（JWT），攻击者可借此绕过认证。拥有此 JWT 访问权限的攻击者随后可通过思科 IOS XE 软件的带外接入点（AP）镜像下载功能向设备发送精心设计的 HTTPS 请求，以上传任意文件。

　　思科指出，必须启用带外 AP 镜像下载功能才会被利用 CVE-2025-20188 漏洞，而该功能默认未启用。此功能允许通过 HTTPS 而非控制和配置无线接入点（CAPWAP）协议将软件镜像和配置下载到 AP，专为 CAPWAP 无法使用的情况（如 AP 位于 WLC 的 CAPWAP 控制路径之外）设计。思科建议客户将其 IOS XE 软件升级到最新版本，以彻底解决该漏洞。客户可使用思科软件检查器来确定是否正在运行易受攻击的版本，并识别需要进行哪些升级来修复所有漏洞。

　　如果运行易受攻击版本的 IOS XE 软件且启用了带外 IP 镜像下载功能，那么受此漏洞影响的产品包括云用的 Catalyst 9800-CL 无线控制器、适用于 Catalyst 9300、9400 和 9500 系列交换机的 Catalyst 9800 嵌入式无线控制器、Catalyst 9800 系列无线控制器以及 Catalyst AP 上的嵌入式无线控制器。

　　用户还可以通过运行 “show running-config | include ap upgrade” 命令来判断是否启用了带外 IP 镜像下载功能，如果启用，则会返回 “ap upgrade method https”。

　　如果无法立即安装补丁，思科建议关闭此功能作为缓解措施，这将迫使所有软件镜像下载通过 CAPWAP 方法进行。由于这可能会影响一些 AP 接收更新的能力，思科表示，客户 “在部署任何变通方法或缓解措施之前，应首先评估其对自身环境的适用性及对环境的任何影响”。