Se ha observado que el malware botnet conocido como RondoDox apunta a instancias de XWiki sin parches contra una equivocación de seguridad crítica que podría permitir a los atacantes obtener la ejecución de código despótico.
La vulnerabilidad en cuestión es CVE-2025-24893 (puntuación CVSS: 9,8), un error de inyección de evaluación que podría permitir a cualquier beneficiario invitado realizar la ejecución remota de código despótico a través de una solicitud al punto final “/bin/get/Main/SolrSearch”. Los mantenedores de XWiki 15.10.11, 16.4.1 y 16.5.0RC1 lo parchearon a finales de febrero de 2025.
Si perfectamente había evidencia de que la deficiencia había sido explotada en estado salvaje desde al menos marzo, no fue hasta finales de octubre, cuando VulnCheck reveló que había observado nuevos intentos de convertir la equivocación en un armas como parte de una dependencia de ataque de dos etapas para implementar un minero de criptomonedas.
Después, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias federales que apliquen las mitigaciones necesarias antiguamente del 20 de noviembre.
En un nuevo mensaje publicado el viernes, VulnCheck reveló que desde entonces ha observado un aumento en los intentos de explotación, alcanzando un nuevo mayor el 7 de noviembre, seguido de otro aumento el 11 de noviembre. Esto indica una actividad de escaneo más amplia probablemente impulsada por múltiples actores de amenazas que participan en el esfuerzo.
Esto incluye RondoDox, una botnet que está agregando rápidamente nuevos vectores de explotación para conectar dispositivos susceptibles a una botnet para realizar ataques distribuidos de denegación de servicio (DDoS) utilizando los protocolos HTTP, UDP y TCP. El primer exploit de RondoDox se observó el 3 de noviembre de 2025, según la empresa de ciberseguridad.
Se han observado otros ataques que explotan la equivocación para entregar mineros de criptomonedas, así como intentos de establecer un shell inverso y una actividad de medición genérico utilizando una plantilla Nuclei para CVE-2025-24893.
Los hallazgos ilustran una vez más la menester de adoptar prácticas sólidas de diligencia de parches para certificar una protección óptima.
“CVE-2025-24893 es una historia conocida: un atacante se mueve primero y muchos lo siguen”, dijo Jacob Baines de VulnCheck. “A los pocos días de la explotación auténtico, vimos botnets, mineros y escáneres oportunistas adoptando la misma vulnerabilidad”.
