Cisco IOS XE 中最近修补的最高严重性漏洞的技术细节揭示了如果漏洞被利用，黑客如何启用远程代码执行。

另请参阅： 使用全局数据网格加速国防任务

该漏洞被跟踪为 CVE-2025-20188，是由硬编码的 JSON Web 令牌触发的任意文件上传。

Horizon3 的研究人员周五发布了对影响 Cisco IOS XE 无线局域网控制器软件版本 17.12.03 及更早版本的漏洞的深入技术分析。虽然这项研究没有提供现成的远程代码执行漏洞，但它概述了一个分步漏洞链，熟练的威胁行为者甚至生成式 AI 模型都可以使用它来实现完整的系统入侵。

该漏洞的核心是由软件中硬编码的 JSON Web 令牌密钥引起的未经身份验证的任意文件上传漏洞。根据 Cisco 的公告，远程攻击者可以通过向带外 AP 映像下载功能发送特制的 HTTPS 请求来利用该漏洞，从而以 root 权限启用文件上传、路径遍历和命令执行。

Cisco 的 Catalyst 9800 无线控制器和嵌入式无线解决方案被全球企业、政府机构、大学和大型公共场所广泛使用，以大规模管理和保护无线网络。

以下模型存在风险：

Catalyst 9800-CL 云无线控制器;Catalyst 9800 嵌入式无线控制器，用于 Catalyst 9300、9400 和 9500 系列交换机;Catalyst 9800 系列无线控制器;Catalyst AP 上的嵌入式无线控制器。

Horizon3 进行了深入的逆向工程工作，将易受攻击的 ISO 映像 （17.12.03） 与修补后的版本 （17.12.04） 进行了比较。他们发现 修改了 Lua 脚本，并分别负责验证 JWT 和处理上传。这些脚本在 和 等端点上调用，攻击者可以利用路径遍历将文件放置在敏感目录中，例如 .ewlc_jwt_verify.luaewlc_jwt_upload_files.lua/aparchive/upload/ap_spec_rec/upload//usr/binos/openresty/nginx/html

使用这种上传方法，研究人员证明可以将恶意文件写入 Web 可访问的位置，从而有效地允许托管和执行任意代码。在他们的测试中，在端口 8443 上启用带外 AP 映像下载服务对于完全可利用是必要的，尽管某些安装默认打开该服务。

该团队发现了一个内部进程管理脚本 ，该脚本使用 监控文件系统更改。通过覆盖其配置文件并上传触发器文件，他们可以强制系统执行攻击者指定的命令，从而完成 RCE 链。pvp.shinotifywait

虽然 Cisco 发布了补丁来解决该漏洞，但它也建议禁用带外 AP 映像下载功能作为临时缓解措施。这会将 AP 映像升级转变为使用安全 CAPWAP 方法。Cisco 强调，除了升级或禁用易受攻击的功能之外，没有其他解决方法。

研究人员警告说，发布的技术细节水平虽然没有武器化，但降低了开发功能漏洞的门槛。