Vulnerabilidad crítica CVE-2025-20188 en Cisco IOS XE permite ejecución remota

Una grave vulnerabilidad de carga arbitraria de archivos, identificada como CVE-2025-20188, afecta al software Cisco IOS XE utilizado en controladores de LAN inalámbrica (WLC). Esta falla de seguridad, calificada con máxima severidad, ya cuenta con detalles técnicos publicados que acercan significativamente la posibilidad de un exploit funcional por parte de atacantes.

Detalles técnicos de la vulnerabilidad CVE-2025-20188

El equipo de investigación de Horizon3 ha publicado un análisis técnico detallado que, si bien no incluye un script de exploit de ejecución remota de código (RCE) completamente funcional, ofrece suficiente información como para que un atacante avanzado —o incluso un modelo de lenguaje— pueda construirlo con relativa facilidad.

La vulnerabilidad permite a un atacante remoto no autenticado cargar archivos arbitrarios, realizar recorridos de ruta (path traversal) y ejecutar comandos con privilegios de root en dispositivos afectados.

¿Qué causa esta falla en Cisco IOS XE?

La raíz del problema es un JSON Web Token (JWT) codificado de forma rígida dentro del sistema, utilizado por scripts Lua de backend en un entorno OpenResty (Nginx + Lua). En caso de que falte el archivo /tmp/nginx_jwt_key, el sistema recurre al uso de un valor por defecto estático: "notfound". Esto permite a los atacantes generar tokens JWT válidos utilizando el algoritmo HS256 y esa cadena como clave secreta.

La falta de validación adecuada en el backend posibilita ataques de carga de archivos fuera del directorio previsto, abriendo la puerta a manipulaciones más complejas, incluida la ejecución remota de código.

Dispositivos Cisco afectados por CVE-2025-20188

La vulnerabilidad solo se considera explotable si la opción "Descarga de imagen AP fuera de banda" está habilitada. Los siguientes modelos están en riesgo:

• Catalyst 9800-CL (controladores inalámbricos en la nube)
• Catalyst 9800 integrado en switches Catalyst series 9300, 9400 y 9500
• Controladores inalámbricos Catalyst serie 9800
• Puntos de acceso Catalyst con controlador integrado

Ejemplo práctico de explotación

En el ejemplo presentado por Horizon3, se muestra cómo un atacante puede enviar una solicitud HTTP POST al endpoint /ap_spec_rec/upload/ a través del puerto 8443, utilizando técnicas de path traversal para colocar un archivo (como foo.txt) fuera del directorio de destino.

Esta carga de archivos puede ser escalada a RCE al sobrescribir archivos críticos monitoreados por servicios backend como No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, un script que vigila directorios específicos y recarga configuraciones de forma automática. Un atacante podría manipular esta funcionalidad para ejecutar comandos arbitrarios.

Recomendaciones de seguridad para mitigar CVE-2025-20188

Dado el alto riesgo de explotación activa y generalizada, se recomienda lo siguiente:

• Actualizar inmediatamente a una versión corregida de Cisco IOS XE, específicamente 17.12.04 o superior.
• Como medida temporal, desactivar la función de descarga de imágenes AP fuera de banda para eliminar la superficie de ataque vulnerable.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta