Horizon3 گزارش داد که جزئیات فنی آسیبپذیری بسیار بحرانی در قابلیت آپلود فایل دلخواه در Cisco IOS XE WLC، با شناسه CVE-2025-20188، بهصورت عمومی منتشر شده است. این افشاگری امکان ساخت اکسپلویت عملیاتی را برای مهاجمان ماهر یا حتی مدلهای زبانی تسهیل میکند. اگرچه این تحلیل شامل اسکریپت آماده برای اجرای کد از راه دور (RCE) نیست اما اطلاعات کافی برای تکمیل خلأهای موجود ارائه میدهد.
با توجه به خطر قریبالوقوع سوءاستفاده از این آسیبپذیری در حملات، Horizon3 توصیه کرد که کاربران تحت تأثیر فورا اقدامات حفاظتی را برای ایمنسازی سیستمهای خود اعمال کنند.
جزئیات آسیبپذیری در Cisco IOS XE WLC
Cisco اعلام کرد که این نقص بحرانی در نرمافزار IOS XE برای کنترلرهای شبکه بیسیم (Wireless LAN Controllers) در ۷ می ۲۰۲۵ افشا شد. این آسیبپذیری به مهاجم راهدور و بدون احراز هویت امکان میدهد کنترل کامل دستگاه را بهدست آورد.
علت این نقص وجود توکن JWT هاردکدشده است که به مهاجم اجازه میدهد فایل آپلود کند، مسیر فایلها را دور بزند (path traversal) و فرمانهای دلخواه را با سطح دسترسی root اجرا کند. Cisco تأکید کرد که CVE-2025-20188 تنها زمانی خطرناک است که قابلیت “Out-of-Band AP Image Download” روی دستگاه فعال باشد. دستگاههای در معرض خطر شامل موارد زیر هستند:
- کنترلرهای Catalyst 9800-CL برای فضای ابری.
- کنترلرهای بیسیم تعبیهشده در سوئیچهای Catalyst سری 9300، 9400 و 9500.
- کنترلرهای بیسیم سری Catalyst 9800.
- کنترلر بیسیم تعبیهشده در Catalyst AP.
نمونه حمله از زبان Horizon3
Horizon3 گزارش داد که این آسیبپذیری به دلیل استفاده از رمز ثابت “notfound” برای JWT در اسکریپتهای Lua در بکاند و نبود اعتبارسنجی کافی برای مسیر فایلها ایجاد شده است. بکاند از اسکریپتهای OpenResty (ترکیبی از Lua و Nginx) برای اعتبارسنجی توکنهای JWT و مدیریت آپلود فایل استفاده میکند. در صورت نبود فایل /tmp/nginx_jwt_key، اسکریپت بهصورت پیشفرض از رشته “notfound” بهعنوان رمز استفاده میکند.
مهاجمان میتوانند با استفاده از الگوریتم HS256، کلید “notfound” و بدون نیاز به دانستن رمز، توکنهای JWT معتبر تولید کنند. در نمونه Horizon3، یک درخواست HTTP POST حاوی فایل به اندپوینت /ap_spec_rec/upload/ در پورت 8443 ارسال میشود و با بهرهگیری از پیمایش مسیر(Path Traversal) در نام فایل، فایلی بیضرر مانند foo.txt خارج از پوشه مقصد آپلود میشود.
برای تبدیل این نقص آپلود فایل به RCE، مهاجم میتواند فایلهای پیکربندی سرویسهای بکاند را بازنویسی کند، وبشل قرار دهد یا از فایلهای تحت نظارت برای اجرای رفتارهای غیرمجاز سوءاستفاده کند. Horizon3 نشان داد که سرویس pvp.sh، که برخی پوشهها را مانیتور میکند، با بازنویسی فایلهای پیکربندی و ایجاد reload، فرمان دلخواه مهاجم را اجرا میکند.
توصیه امنیتی
با توجه به خطر بالای اکسپلویت این آسیبپذیری، Horizon3 به کاربران توصیه کرد که فورا به نسخه پچشده (17.12.04 یا بالاتر) ارتقا دهند. Cisco اعلام کرد که مدیران میتوانند بهعنوان راهکار موقت، قابلیت Out-of-Band AP Image Download را غیرفعال کنند تا سرویس آسیبپذیر از دسترس خارج شود.
