Witold Kepinski - 10 mei 2025

Cisco dicht kritiek lek in IOS XE waardoor aanvallers apparaten kunnen overnemen

Cisco heeft een kritiek beveiligingslek (maximale ernst) in zijn IOS XE Software voor Wireless LAN Controllers verholpen. Het lek, aangeduid als CVE-2025-20188, wordt veroorzaakt door een hardgecodeerde JSON Web Token (JWT) die een niet-geauthenticeerde externe aanvaller in staat stelt de controle over getroffen apparaten te krijgen.

Dit token is bedoeld om verzoeken te authenticeren voor de functie 'Out-of-Band AP Image Download'. Omdat het token hardgecodeerd is, kan iedereen zich zonder inloggegevens voordoen als een geautoriseerde gebruiker zo meldt Bleepingcomputer.

De CVSS-score van het lek is de maximale 10.0, wat betekent dat aanvallers de apparaten volledig kunnen compromitteren.

"Een aanvaller zou dit lek kunnen misbruiken door speciaal ontworpen HTTPS-verzoeken naar de AP image download interface te sturen," aldus Cisco in een beveiligingsbulletin. "Een succesvolle exploitatie zou de aanvaller in staat stellen bestanden te uploaden, path traversal uit te voeren en willekeurige commando's met root-privileges uit te voeren."

Tip de redactie

Sophos 05/05/2025 t/m 19/05/2025 BN + BW

Over Witold Kepinski

Witold Kepinski (1969) is Bestuurder, Editor-in-Chief en Director Content van Dutch IT Channel en Dutch IT Leaders. Witold Kepinski is 25 jaar actief in de IT Media en Tech Business branche

Witold Kepinski geeft met een gespecialiseerd team van redacteuren, bloggers en videomakers inzicht in tech business trends en toepassingen waarmee IT-beslissers en Channel Partners impact maken.

Auteur pagina

Cisco dicht kritiek lek in IOS XE waardoor aanvallers apparaten kunnen overnemen

Dutch IT events

Over Witold Kepinski

Wil jij dagelijkse updates?