背景图片来源／思科

思科（Cisco）发布安全公告，指出其IOS XE无线区域网路控制器（WLC）软件存在一项被评为风险等级满分的重大漏洞CVE-2025-20188，该漏洞源自系统内部写死的JWT（JSON Web Token），允许未经验证的远端攻击者，上传任意文件并执行指令，当受影响装置启用特定功能，便可能成为被入侵的高风险目标。思科目前已释出新版本修补此问题，建议用户儘速更新。

CVE-2025-20188漏洞存在于Catalyst 9800系列的控制器平台，包括部署于云端、交换器内嵌控制器版本与部分存取点（Access Point，AP）内建控制器，当用户启用Out-of-Band AP Image Download功能，攻击者便有机会利用该漏洞发动攻击。

Out-of-Band AP Image Download功能并非预设开启，通常是供设备管理者透过HTTPS介面，进行AP映像档传送与升级之用，当攻击者利用内部JWT通过身分验证，便可透过特製请求绕过安全机制，将恶意文件写入系统指定位置，进一步达成任意程序执行，且可取得Root层级的存取权限。

思科指出，此问题由其内部安全团队ASIG于例行测试中发现，并未侦测到有实际攻击或漏洞公开滥用的迹象。管理者可暂时停用上述映像档下载功能，改由CAPWAP协定完成AP韧体更新流程，作为缓解措施。

由于漏洞发生在远端设备管理功能上，且可绕过使用者验证机制，风险影响範围不仅涵盖资料完整性，也涉及控制权夺取与服务中断等问题，因此该漏洞被列为CVSS 3.1等级10.0的最高风险。对于多数企业而言，WLC作为无线网路中枢，若遭入侵将可能成为横向移动的跳板，进一步扩大网路攻击面。

思科强调，所有受影响的使用者应透过正式授权的升级管道下载修补版本，并建议定期使用支援工具Cisco Software Checker检视设备版本与潜在风险。此外，针对无法即时升级的情境，建议优先纳入控管清单，降低外部连线与未授权存取的可能性，也可搭配资安稽核工具强化监控。