جزئیات فنی آسیب‌پذیری بحرانی Cisco IOS XE WLC با شناسه CVE-2025-20188 که امکان آپلود فایل دلخواه را فراهم می‌کند، به صورت عمومی منتشر شده است. این انتشار احتمال ساخت اکسپلویت کاربردی را افزایش داده است.

گزارش منتشر شده توسط محققان Horizon3 حاوی اسکریپت آماده اجرای RCE نیست، اما اطلاعات کافی برای مهاجمان ماهر یا حتی مدل‌های زبانی هوش مصنوعی جهت تکمیل بخش‌های ناقص را فراهم می‌کند. با توجه به خطر فوری تبدیل به سلاح و استفاده گسترده در حملات، توصیه می‌شود کاربران آسیب‌دیده فوراً اقدامات حفاظتی را انجام دهند.

آسیب‌پذیری Cisco IOS XE WLC

سیسکو این آسیب‌پذیری بحرانی در نرم‌افزار IOS XE برای کنترلرهای شبکه بی‌سیم را در 7 می 2025 افشا کرد. این نقص به مهاجمان امکان تصاحب دستگاه‌ها را می‌دهد.

طبق اعلام سیسکو، علت این آسیب‌پذیری وجود یک JSON Web Token (JWT) هاردکد شده است که به مهاجم از راه دور و بدون احراز هویت اجازه آپلود فایل، پیمایش مسیر و اجرای دستورات دلخواه با دسترسی root را می‌دهد.

این آسیب‌پذیری تنها زمانی خطرناک است که ویژگی “Out-of-Band AP Image Download” روی دستگاه فعال باشد. در این صورت، مدل‌های زیر در معرض خطر قرار دارند:

• کنترلرهای بی‌سیم Catalyst 9800-CL برای Cloud
• کنترلر بی‌سیم تعبیه‌شده Catalyst 9800 برای سوئیچ‌های سری 9300، 9400 و 9500
• کنترلرهای بی‌سیم سری Catalyst 9800
• کنترلر بی‌سیم تعبیه‌شده در Catalyst AP ها

نمونه حمله Horizon3

تحلیل Horizon3 نشان می‌دهد که این نقص به دلیل وجود یک رمز JWT پیش‌فرض هاردکد شده (“notfound”) که توسط اسکریپت‌های Lua برای نقاط آپلود استفاده می‌شود، همراه با اعتبارسنجی ناکافی مسیر ایجاد شده است.

به طور خاص، بخش پشتیبان از اسکریپت‌های OpenResty (ترکیب Lua و Nginx) برای اعتبارسنجی توکن‌های JWT و مدیریت آپلود فایل‌ها استفاده می‌کند. اگر فایل ‘/tmp/nginx_jwt_key’ موجود نباشد، اسکریپت از رشته “notfound” به عنوان رمز برای تأیید JWT استفاده می‌کند.

این موضوع به مهاجمان اجازه می‌دهد بدون دانستن هیچ رمزی، توکن‌های معتبر تولید کنند. آنها می‌توانند با استفاده از ‘HS256’ و ‘notfound’ این کار را انجام دهند.

نمونه ارائه شده توسط Horizon3 یک درخواست HTTP POST با آپلود فایل به نقطه پایانی ‘/ap_spec_rec/upload/’ از طریق پورت 8443 ارسال می‌کند و از پیمایش مسیر نام فایل برای قرار دادن یک فایل بی‌ضرر (foo.txt) خارج از دایرکتوری مورد نظر استفاده می‌کند.

برای تبدیل آسیب‌پذیری آپلود فایل به اجرای کد از راه دور، مهاجم می‌تواند فایل‌های پیکربندی که توسط سرویس‌های پشتیبان بارگذاری می‌شوند را بازنویسی کند، وب شل‌ها را قرار دهد یا از فایل‌های نظارت شده برای فعال کردن اقدامات غیرمجاز سوءاستفاده کند.

نمونه Horizon3 از سرویس ‘pvp.sh’ که دایرکتوری‌های خاصی را نظارت می‌کند سوءاستفاده می‌کند، فایل‌های پیکربندی که به آنها وابسته است را بازنویسی می‌کند و رویداد بارگذاری مجدد را برای اجرای دستورات مهاجم فعال می‌کند.

با توجه به خطر بالای بهره‌برداری، توصیه می‌شود کاربران در اسرع وقت به نسخه وصله شده (17.12.04 یا جدیدتر) ارتقا دهند. به عنوان راه‌حل موقت، مدیران سیستم می‌توانند ویژگی Out-of-Band AP Image Download را غیرفعال کنند تا سرویس آسیب‌پذیر بسته شود.