Cisco ha lanzado parches para una vulnerabilidad crítica (CVE-2025-20188) en su sistema IOS XE Wireless Controller, que podría permitir a atacantes remotos ejecutar comandos con privilegios de root. Esta falla ha recibido una puntuación de 10.0 en la escala CVSS, el nivel más alto de severidad posible.
¿Qué la hace tan peligrosa?
El fallo se debe a la presencia de un token JWT (JSON Web Token) codificado de forma fija en los dispositivos afectados. Un atacante podría aprovecharlo enviando solicitudes HTTPS manipuladas para:
-
Subir archivos arbitrarios
-
Navegar por los directorios del sistema
-
Ejecutar comandos con control total (root)
¿Qué equipos están en riesgo?
Solo si tiene activada la función “Out-of-Band AP Image Download” (desactivada por defecto), los siguientes dispositivos pueden ser vulnerables:
-
Catalyst 9800-CL Wireless Controllers for Cloud
-
Catalyst 9800 Embedded Wireless Controller para switches Catalyst 9300, 9400 y 9500
-
Catalyst 9800 Series Wireless Controllers
-
Embedded Wireless Controller en puntos de acceso Catalyst (APs)
¿Qué se debe hacer?
-
Actualiza inmediatamente a las versiones corregidas que Cisco ha publicado.
-
Como medida temporal, si no puedes actualizar aún, desactiva la función “Out-of-Band AP Image Download” para mitigar el riesgo. Esto no afecta el funcionamiento de los APs, que seguirán actualizándose vía CAPWAP.
Puedes consultar las versiones corregidas y los detalles técnicos en el sitio oficial de Cisco:
https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html#ssu
¿Se ha usado esta vulnerabilidad en ataques reales?
No, según Cisco, no hay evidencia de explotación activa en el mundo real. La falla fue descubierta internamente por su equipo de seguridad ASIG.
Recomendación: Si administras equipos de red Cisco, verifica si tienes esta función habilitada y actualiza lo antes posible. En ciberseguridad, la prevención es la mejor defensa.
