Una nueva alerta de seguridad de Cisco ha encendido las alarmas: una falla de máxima gravedad en iOS XE permite a los atacantes secuestrar dispositivos.Esta vulnerabilidad, identificada como CVE-2025-20188, ostenta una puntuación CVSS máxima de 10.0, lo que significa que un atacante puede comprometer completamente tus dispositivos.
Cisco menciona que "un atacante podría explotar esta vulnerabilidad enviando solicitudes HTTPS manipuladas a la interfaz de descarga de imágenes de AP. Una explotación exitosa podría permitir al atacante cargar archivos, atravesar rutas y ejecutar comandos arbitrarios con privilegios de root".
También puedes leer: Modus operandi de las estafas de Google Voice
Es importante destacar que CVE-2025-20188 solo es explotable cuando la función "Descarga de imágenes de AP fuera de banda" está habilitada en el dispositivo. Por defecto, esta función está deshabilitada.
Esta característica permite a los Puntos de Acceso (AP) descargar imágenes del sistema operativo mediante HTTPS en lugar del protocolo CAPWAP, lo que ofrece una forma más flexible y directa de instalar firmware. Aunque no viene activada de serie, algunas implementaciones empresariales a gran escala o automatizadas pueden habilitarla para aprovisionar o recuperar los AP más rápidamente.
Los siguientes dispositivos son vulnerables si se cumplen los requisitos de explotación:
- Controlador inalámbrico Catalyst 9800-CL para la nube
- Controlador inalámbrico integrado Catalyst 9800 para switches de las series Catalyst 9300, 9400 y 9500
- Controladores inalámbricos de la serie Catalyst 9800
- Controlador inalámbrico integrado en puntos de acceso Catalyst
Por otro lado, los productos que se ha confirmado que no se ven afectados por este problema son: Cisco IOS (no XE), Cisco IOS XR, productos Cisco Meraki, Cisco NX-OS y WLC basados en Cisco AireOS.
Conoce también: X (Twitter) golpeado por un ciberataque masivo
Cisco ya ha publicado actualizaciones de seguridad para abordar esta vulnerabilidad crítica. Se recomienda a los administradores de sistemas que las apliquen lo antes posible.
Puedes determinar la versión exacta que corrige la falla en tu dispositivo utilizando el verificador de software de Cisco para tu modelo específico.
Aunque no existen mitigaciones ni soluciones alternativas directas para CVE-2025-20188, deshabilitar la función "Descarga de imágenes de AP fuera de banda" es una defensa sólida si la tienes activada.
Actualmente, Cisco no tiene constancia de ningún caso de explotación activa de CVE-2025-20188. Sin embargo, dada la gravedad del problema, es probable que los actores de amenazas comiencen a escanear de inmediato los endpoints vulnerables expuestos.
Protege tu red con expertos en ciberseguridad
En un entorno donde las vulnerabilidades críticas surgen constantemente, la proactividad y la experiencia son fundamentales para proteger tu infraestructura. En E-dea Networks, somos especialistas en la implementación y gestión de soluciones de ciberseguridad que te mantendrán un paso adelante de las amenazas.
¿Necesitas ayuda para identificar y remediar vulnerabilidades?
