一、 漏洞 CVE-2025-20190 基础信息
漏洞信息
# N/A
## 概述
Cisco IOS XE 无线控制器软件中的接待大使(web)接口存在一个漏洞,允许经过身份验证的远程攻击者删除设备上定义的任意用户。
## 影响版本(如有)
未具体列出受影响的版本信息。
## 细节
此漏洞是由于接待大使用户执行的操作权限控制不足所导致。攻击者可以通过使用接待大使用户账户登录受影响的设备,并向API发送精心构造的HTTP请求来利用该漏洞。成功利用此漏洞后,攻击者可以在设备上删除任意用户账户,包括具有管理权限的用户。
## 影响
该漏洞仅在攻击者获得接待大使账户凭证的情况下可被利用。需要注意的是,该账户默认情况下未被配置。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the lobby ambassador web interface of Cisco IOS XE Wireless Controller Software could allow an authenticated, remote attacker to remove arbitrary users that are defined on an affected device.
This vulnerability is due to insufficient access control of actions executed by lobby ambassador users. An attacker could exploit this vulnerability by logging in to an affected device with a lobby ambassador user account and sending crafted HTTP requests to the API. A successful exploit could allow the attacker to delete arbitrary user accounts on the device, including users with administrative privileges.
Note: This vulnerability is exploitable only if the attacker obtains the credentials for a lobby ambassador account. This account is not configured by default.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
访问控制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Cisco IOS XE Wireless Controller Software 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Cisco IOS XE Wireless Controller software是美国思科(Cisco)公司的一个无线局域网控制器。提供一个管理网络功能 Cisco IOS XE Wireless Controller Software存在访问控制错误漏洞,该漏洞源于访问控制不足,可能导致删除任意用户账户。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-20190 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-20190 的情报信息
-
标题: Cisco IOS XE Wireless Controller Software Unauthorized User Deletion Vulnerability -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-20190