Resumen ejecutivo
Se ha detectado una vulnerabilidad crítica (puntuación CVSS de 10.0) en la función de descarga de imagen de punto de acceso (AP) fuera de banda de Cisco IOS XE Software para controladores de LAN inalámbrica (WLCs). Esta vulnerabilidad permite a un atacante remoto no autenticado subir archivos arbitrarios al sistema afectado gracias a la presencia de un token JWT codificado. El atacante podría explotar la vulnerabilidad mediante solicitudes HTTPS alteradas, lo que podría permitirle llevar a cabo un recorrido de ruta y ejecutar comandos arbitrarios con privilegios de root, suponiendo un alto riesgo de seguridad. Para reducir el riesgo, es importante desactivar la función de descarga de imagen de AP fuera de banda, si no es esencial para la operación del dispositivo, ya que no esta habilitada por defecto.
Además de la vulnerabilidad crítica principal, se han identificado varias vulnerabilidades de severidad alta que afectan a dispositivos Cisco con IOS XE. Entre ellas se incluyen: CVE-2025-20140, que permite causar una denegación de servicio mediante tráfico IPv6 malicioso; CVE-2025-20186, una vulnerabilidad de inyección de comandos en la interfaz web accesible por usuarios autenticados con permisos limitados; CVE-2025-20154, relacionada con el protocolo TWAMP, que puede provocar reinicios del sistema; CVE-2025-20191, que afecta al manejo de paquetes DHCPv6 en funciones de seguridad integradas y puede ser explotada por atacantes adyacentes; y CVE-2025-20122, una escalada de privilegios en Cisco SD-WAN Manager que permite a un atacante autenticado obtener acceso root. Todas estas vulnerabilidades representan un riesgo significativo si no se aplican las actualizaciones de seguridad correspondientes.
Recursos afectados
- Cisco IOS XE Wireless Controller Software (versiones vulnerables específicas no mencionadas)
- Catalyst 9800-CL Wireless Controllers for Cloud (solo si se ejecuta una versión vulnerable de Cisco IOS XE Software para WLCs y se habilita la característica de descarga de imágenes de AP fuera de banda)
- Catalyst 9800 Embedded Wireless Controller para Catalyst 9300, 9400, and 9500 Series Switches (solo si se ejecuta una versión vulnerable de Cisco IOS XE Software para WLCs y se habilita la característica de descarga de imágenes de AP fuera de banda)
- Catalyst 9800 Series Wireless Controllers (solo si se ejecuta una versión vulnerable de Cisco IOS XE Software para WLCs y se habilita la característica de descarga de imágenes de AP fuera de banda)
- Embedded Wireless Controller on Catalyst APs (solo si se ejecuta una versión vulnerable de Cisco IOS XE Software para WLCs y se habilita la característica de descarga de imágenes de AP fuera de banda)
- Integrated Access Points en ISR 1100 (Wi-Fi 6)
- Wi-Fi 6 pluggable module for Catalyst IR1800 Rugged Series Routers
- Cisco Catalyst SD-WAN Manager (vManage)
- 1000, 4000, 8200, 8300, 8500 y 8500L Series Edge Platforms (con VPN IKEv1 habilitado)
- Dispositivos Cisco con el servidor TWAMP activado
- Dispositivos con clientes IPv6 inalámbricos habilitados (afectados por la función wncd)
- Dispositivos con funciones de seguridad integradas SISF habilitadas (en IOS, IOS XE, NX-OS y AireOS)
- Dispositivos con interfaz web y cuenta "lobby ambassador" habilitada
Análisis técnico
- CVE-2025-20188: Una vulnerabilidad en la función de descarga de imagen de punto de acceso (AP) fuera de banda de Cisco IOS XE Software para controladores de LAN inalámbrica (WLCs) podría permitir a un atacante remoto y no autenticado subir archivos arbitrarios a un sistema afectado. Esta vulnerabilidad se debe a la presencia de un JSON Web Token (JWT) codificado en el sistema afectado. Un atacante podría explotar esta vulnerabilidad enviando solicitudes HTTPS manipuladas a la interfaz de descarga de imagen del AP. Una explotación exitosa podría permitir al atacante subir archivos, realizar un recorrido de ruta y ejecutar comandos arbitrarios con privilegios de root. Nota: Para que la explotación sea exitosa, la función de descarga de imagen de AP fuera de banda debe estar habilitada en el dispositivo. No está habilitada por defecto.
- CWE-798
- CVSS: 10.0 (crítica)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
- Explotación: No detectada
Mitigación / Solución
Cisco ha emitido una alerta sobre una vulnerabilidad crítica en el software Cisco IOS XE para Controladores LAN Inalámbricos (WLCs) que podrían permitir a un atacante remoto no autenticado cargar archivos arbitrarios a un sistema afectado. Como solución al problema, Cisco ha liberado actualizaciones de software que solucionan esta vulnerabilidad. Si no es posible la actualización, una opción de mitigación es desactivar la característica de Descarga de Imagen AP Fuera de Banda. Al desactivar esta característica, la descarga de la imagen AP usará el método CAPWAP para la función de actualización de la imagen AP, y esto no afecta el estado del cliente AP. Cisco recomienda implementar esta mitigación hasta que se pueda realizar una actualización a una versión de software fija.
Para el resto de vulnerabilidades de severidad alta descritas en las últimas publicaciones de Cisco (mayo de 2025), no existen soluciones alternativas aparte de aplicar las actualizaciones de seguridad proporcionadas. No obstante, se sugieren algunas medidas específicas cuando la funcionalidad afectada no es indispensable:
- Deshabilitar el soporte para clientes inalámbricos IPv6 si no es requerido (
no wireless ipv6 client). - Deshabilitar el servidor TWAMP en dispositivos que no lo utilicen.
- Eliminar las cuentas con rol de "lobby ambassador" si no son necesarias.
- Deshabilitar la funcionalidad IKEv1 en plataformas donde no se utilice, como ISR o Catalyst Edge Platforms.
- En dispositivos con SISF (Switch Integrated Security Features), revisar si es posible desactivar funciones como device-tracking o ipv6 snooping si no están en uso.
Cisco recomienda a todos los clientes utilizar el Cisco Software Checker para identificar versiones afectadas y acceder a la versión corregida más adecuada para cada dispositivo.