思科紧急修复致命漏洞，黑客可借此全面接管设备

文章预览

最近，Cisco（思科）公司 成功修复了其IOS XE软件中一个被评定为最高严重程度的漏洞， 即CVE-2025-20188，有效避免了潜在的大规模网络攻击。此漏洞与一个用于“带外AP映像下载”功能的硬编码JSON Web Token（JWT）有关， 一旦被利用，未授权的远程攻击者将有机会全面控制设备。 据思科官方公告所述， 该漏洞的CVSS评分为满分10.0， 表明了其极度的危险性。 攻击者若成功利用漏洞，仅需向AP映像下载接口发送精心设计的HTTPS请求，就可能实现文件上传、路径遍历以及以root权限执行任意命令等恶意操作。 令人担忧的是，这些操作将使设备完全暴露在攻击者的掌控之下，后果不堪设想。 不过，值得庆幸的是，引发此类漏洞风险的“带外AP映像下载”功能并非设备默认启用。该功能主要用于允许接入点（AP）通过HTTPS而非传统的CAPWAP协议下载操作系统映像，为A ………………………………