CVVE-2025-20188 olarak izlenen kritik bir güvenlik açığı, Cisco IOS XE Kablosuz LAN kontrolörlerinde (WLC’ler) keşfedildi ve dünya çapında kurumsal kablosuz altyapıları tehdit etti.
CVSS ölçeğinde maksimum 10.0 puan alan bu kusur, kimlik doğrulanmamış uzak saldırganların keyfi dosyalar yüklemesine ve potansiyel olarak kök olarak komutları yürütmesine izin vererek etkilenen cihazlar üzerinde tam kontrol sağlıyor.
Güvenlik açığı, WLC’ler için Cisco IOS XE yazılımının bant dışı AP (Erişim Noktası) görüntü indirme özelliğinde kullanılan sert kodlu bir JSON Web Tokeninden (JWT) ortaya çıkar.
.png
)
Bu özellik etkinleştirildiğinde, saldırganlar hazırlanmış HTTPS istekleri aracılığıyla kusurdan yararlanabilir, kimlik doğrulamasını atlayabilir ve cihaz dosya sistemindeki hassas konumlara dosyaları yükleyebilir.
Bu, yolun geçiş olasılığını içerir, saldırganların üzerine yapılandırma dosyalarının üzerine yazmalarını veya uzaktan kod yürütme (RCE) için kötü niyetli komut dosyaları tesis etmesini içerir.
Anahtar teknik detaylar
- Savunmasız bileşen: Bant dışı AP resim indir özelliği
- Kimlik Doğrulama Bypass: Lua senaryolarında sert kodlanmış jwt (
ewlc_jwt_verify.lua
–ewlc_jwt_upload_files.lua
) - Sömürü Yöntemi: Rasgele dosyaları yüklemek için hazırlanmış https yayın istekleri
- Potansiyel etki: Yol geçiş, keyfi dosya yazma, kök seviyesi komut yürütme
Örnek Nginx yapılandırma bloğu
textlocation /aparchive/upload {
access_by_lua_file /var/scripts/lua/features/ewlc_jwt_verify.lua;
content_by_lua_file /var/scripts/lua/features/ewlc_jwt_upload_files.lua;
client_max_body_size 1536M;
set $upload_file_dst_path "/bootflash/completeCDB/";
}
Saldırganlar, yol geçişi için dosya adı parametresini manipüle ederek yükleme uç noktasını kullanabilir, örneğin filename="../../usr/binos/openresty/nginx/html/foo.txt"
dosyaları web tarafından erişilebilir veya sistem açısından kritik dizinlere yerleştirmek için 1.
Etkilenen ürünler ve sömürü koşulları
Güvenlik açığı, bant dışı AP görüntü indirme özelliği etkinleştirilmiş iOS XE’yi çalıştıran birkaç Cisco WLC modelini etkiler.
Özellikle, bu özellik varsayılan olarak etkinleştirilmez, ancak bazı dağıtımlarda etkin olabilir veya yapılandırma sırasında yanlışlıkla etkin olabilir.

Ürün adı | Güvenlik Açığı Koşulları | İlişkili CVE |
---|---|---|
Bulut için Catalyst 9800-Cl Kablosuz Denetleyiciler | İOS XE WLC, özellik etkin | CVE-2025-20188 |
Catalyst 9800 Gömülü Kablosuz Denetleyici (9300/9400/9500) | İOS XE WLC, özellik etkin | CVE-2025-20188 |
Catalyst 9800 Serisi Kablosuz Denetleyiciler | İOS XE WLC, özellik etkin | CVE-2025-20188 |
Katalizör AP’lerine gömülü kablosuz denetleyici | İOS XE WLC, özellik etkin | CVE-2025-20188 |
Etkilenmeyen ürünler Cisco iOS, iOS XR, Meraki, NX-OS ve Aireos platformlarını dahil edin.
Azaltma, tespit ve öneriler
Cisco, güvenlik açığını gidermek için yamalı yazılım yayınladı.
Yöneticiler, en son sabit sürümlere derhal yükseltmeleri şiddetle tavsiye edilir.
Hemen yükseltme mümkün değilse, bant dışı AP görüntü indirme özelliğini devre dışı bırakmak geçici bir hafifletme olarak önerilir.
Bu özellik devre dışı bırakıldığında, AP görüntü güncellemeleri, savunmasız uç noktaları ortaya çıkarmayan daha güvenli CAPWAP yöntemine geri döner.
Azaltma Adımları:
- En son Cisco IOS XE WLC yazılım sürümüne yükseltme
- Bant Dışı AP Resim İndirme Özelliği:
- Yapılandırma → Kablosuz Global → AP Görüntü Yükseltme Bölümü’ne gidin
- Özelliğin ayarlandığından emin olun engelli
Tespit:
- Beklenmedik dosya yüklemelerini veya sistem dizinlerindeki değişiklikleri izleyin
- Bant dışı AP görüntü indirme özelliğinin durumu için WLC yapılandırmalarını denetleyin
Güvenlik Danışma Tablosu
Azaltma eylemi | Tanım |
---|---|
Yazılım Güncellemesi | Cisco’nun en son güvenlik yamalarını uygulayın |
Özellik engelleme | Bant dışı AP Resim İndir |
Ağ İzleme | Şüpheli Yükleme Etkinliği İzleyin |
Yapılandırma Denetimi | Özellik durumunu onaylayın ve erişimi kısıtlayın |
CVE-2025-20188, kritik altyapıda sert kodlanmış kimlik bilgilerinin ve yetersiz giriş validasyonunun risklerinin altını çizmektedir.
Cisco IOS XE WLC’lere dayanan işletmeler, sömürü kablosuz ağ denetleyicilerinin ve uzatma gereği tüm bağlantılı müşteriler ve cihazların tam olarak uzlaşmasına neden olabileceğinden, bu kusuru yamalamak veya azaltmak için hızla hareket etmelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!