جزئیات اکسپلویت آسیب‌پذیری بحرانی در Cisco IOS XE به‌صورت عمومی منتشر شد.

جزئیات فنی آسیب‌پذیری بارگذاری فایل دلخواه با شدت حداکثری در Cisco IOS XE WLC با شناسه CVE-2025-20188 به‌صورت عمومی منتشر شد

جزئیات فنی مربوط به آسیب‌پذیری با شدت حداکثری در Cisco IOS XE WLC که با شناسه CVE-2025-20188 ردیابی می‌شود، اکنون به‌صورت عمومی در دسترس قرار گرفته است؛ این اقدام، گامی دیگر به سمت توسعه یک اکسپلویت عملیاتی محسوب می‌شود.

بررسی منتشرشده توسط محققان Horizon3 شامل اسکریپت اکسپلویت PoC آماده اجرا برای اجرای از راه دور کد (RCE) نیست، اما اطلاعات کافی را در اختیار مهاجمان ماهر — یا حتی یک مدل زبانی — قرار می‌دهد تا بخش‌های ناقص را تکمیل کرده و اکسپلویت کامل را بسازند.

با توجه به خطر فوری تسلیح این آسیب‌پذیری و احتمال سوءاستفاده گسترده در حملات، به کاربران آسیب‌پذیر توصیه می‌شود فوراً اقدامات حفاظتی لازم را برای ایمن‌سازی سامانه‌های خود انجام دهند.

آسیب‌پذیری در Cisco IOS XE WLC

شرکت Cisco در تاریخ ۷ می ۲۰۲۵ یک آسیب‌پذیری بحرانی در نرم‌افزار IOS XE برای کنترلرهای بی‌سیم (Wireless LAN Controllers) را افشا کرد که به مهاجم امکان تصاحب کامل دستگاه را می‌دهد.

Cisco اعلام کرده است که این نقص ناشی از وجود یک JSON Web Token (JWT) از پیش‌تعریف‌شده (hard-coded) است که به مهاجمی بدون احراز هویت و از راه دور اجازه می‌دهد فایل بارگذاری کرده، مسیرها را دور بزند (path traversal) و فرامین دلخواه را با سطح دسترسی root اجرا کند.

در اطلاعیه امنیتی Cisco آمده است که CVE-2025-20188 تنها زمانی خطرناک است که قابلیت “Out-of-Band AP Image Download” روی دستگاه فعال باشد. در این حالت، مدل‌های زیر در معرض خطر قرار دارند:

• کنترلر بی‌سیم Catalyst 9800-CL برای فضای ابری
• کنترلر بی‌سیم توکار Catalyst 9800 برای سوئیچ‌های سری ۹۳۰۰، ۹۴۰۰ و ۹۵۰۰
• کنترلرهای بی‌سیم سری Catalyst 9800
• کنترلر بی‌سیم توکار روی نقاط دسترسی Catalyst

نمونه حمله Horizon3

تحلیل Horizon3 نشان می‌دهد که این آسیب‌پذیری ناشی از استفاده از یک راز JWT fallback از پیش‌تعریف‌شده به نام “notfound” در اسکریپت‌های Lua بک‌اند برای نقاط بارگذاری فایل است که همراه با اعتبارسنجی ناکافی مسیر، منجر به آسیب‌پذیری می‌شود.

در واقع، بک‌اند از اسکریپت‌های OpenResty (ترکیب Lua و Nginx) برای اعتبارسنجی توکن‌های JWT و مدیریت بارگذاری فایل‌ها استفاده می‌کند. در صورت نبودن فایل /tmp/nginx_jwt_key، اسکریپت به رشته “notfound” به‌عنوان راز جایگزین برای اعتبارسنجی توکن‌ها بازمی‌گردد.

این رفتار باعث می‌شود مهاجمان بتوانند بدون نیاز به دانستن هیچ رازی، توکن‌های معتبر تولید کنند — تنها با استفاده از الگوریتم HS256 و کلید “notfound”.

در نمونه حمله Horizon3، یک درخواست HTTP POST به نقطه /ap_spec_rec/upload/ در پورت ۸۴۴۳ ارسال می‌شود که فایلی به نام foo.txt را با استفاده از path traversal در خارج از مسیر مجاز ذخیره می‌کند.

برای تبدیل این نقص به اجرای کد از راه دور (RCE)، مهاجم می‌تواند فایل‌های پیکربندی استفاده‌شده توسط سرویس‌های بک‌اند را بازنویسی کند، شِل‌های وب بارگذاری کند یا از فایل‌های پایش‌شده برای انجام اقدامات غیرمجاز سوءاستفاده کند.

در این مثال، مهاجم از سرویس pvp.sh استفاده می‌کند که دایرکتوری‌های خاصی را مانیتور می‌کند، فایل پیکربندی مربوطه را بازنویسی کرده و با ایجاد reload باعث اجرای دستورات مخرب می‌شود.

توصیه امنیتی

با توجه به ریسک بالای بهره‌برداری، به کاربران توصیه می‌شود در اسرع وقت نرم‌افزار دستگاه‌های خود را به نسخه وصله‌شده (۱۷٫۱۲٫۰۴ یا جدیدتر) ارتقاء دهند.

به‌عنوان راهکار موقت، مدیران می‌توانند قابلیت “Out-of-Band AP Image Download” را غیرفعال کنند تا سرویس آسیب‌پذیر غیرفعال شود.