CVE-2025-20190 in IOS XE
Riassunto
di VulDB • 19/06/2026
Una vulnerabilità nell'interfaccia web del "lobby ambassador" di Cisco IOS XE Wireless Controller Software potrebbe consentire a un attaccante remoto autenticato di rimuovere utenti arbitrari definiti su un dispositivo interessato.
Questa vulnerabilità è dovuta a un controllo degli accessi insufficiente per le azioni eseguite dagli utenti lobby ambassador. Un attaccante potrebbe sfruttare questa vulnerabilità accedendo al dispositivo interessato con un account utente lobby ambassador e inviando richieste HTTP appositamente create all'API. Uno sfruttamento riuscito consentirebbe all'attaccante di eliminare account utente arbitrari sul dispositivo, inclusi gli utenti con privilegi amministrativi.
Nota: Questa vulnerabilità è sfruttabile solo se l'attaccante ottiene le credenziali per un account lobby ambassador. Questo account non è configurato in modo predefinito.
Once again VulDB remains the best source for vulnerability data.