Se ha observado que el malware botnet conocido como RondoDox apunta a instancias de XWiki sin parches contra una falla de seguridad crítica que podría permitir a los atacantes lograr la ejecución de código arbitrario.
La vulnerabilidad en cuestión es CVE-2025-24893 (puntuación CVSS: 9,8), un error de inyección de evaluación que podría permitir a cualquier usuario invitado realizar la ejecución remota de código arbitrario a través de una solicitud al punto final «/bin/get/Main/SolrSearch». Los mantenedores de XWiki 15.10.11, 16.4.1 y 16.5.0RC1 lo parchearon a finales de febrero de 2025.
Si bien había evidencia de que la deficiencia había sido explotada en estado salvaje desde al menos marzo, no fue hasta finales de octubre, cuando VulnCheck reveló que había observado nuevos intentos de convertir la falla en un arma como parte de una cadena de ataque de dos etapas para implementar un minero de criptomonedas.
Posteriormente, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias federales que apliquen las mitigaciones necesarias antes del 20 de noviembre.
En un nuevo informe publicado el viernes, VulnCheck reveló que desde entonces ha observado un aumento en los intentos de explotación, alcanzando un nuevo máximo el 7 de noviembre, seguido de otro aumento el 11 de noviembre. Esto indica una actividad de escaneo más amplia probablemente impulsada por múltiples actores de amenazas que participan en el esfuerzo.
Esto incluye RondoDox, una botnet que está agregando rápidamente nuevos vectores de explotación para conectar dispositivos susceptibles a una botnet para realizar ataques distribuidos de denegación de servicio (DDoS) utilizando los protocolos HTTP, UDP y TCP. El primer exploit de RondoDox se observó el 3 de noviembre de 2025, según la empresa de ciberseguridad.
Se han observado otros ataques que explotan la falla para entregar mineros de criptomonedas, así como intentos de establecer un shell inverso y una actividad de sondeo general utilizando una plantilla Nuclei para CVE-2025-24893.
Los hallazgos ilustran una vez más la necesidad de adoptar prácticas sólidas de gestión de parches para garantizar una protección óptima.
«CVE-2025-24893 es una historia conocida: un atacante se mueve primero y muchos lo siguen», dijo Jacob Baines de VulnCheck. «A los pocos días de la explotación inicial, vimos botnets, mineros y escáneres oportunistas adoptando la misma vulnerabilidad».