Cve-2025-24893

O malware de botnet conhecido como RondoDox está atacando instâncias do XWiki que não foram atualizadas, aproveitando uma falha de segurança crítica identificada como CVE-2025-24893, que possui uma pontuação CVSS de 9.8. Essa vulnerabilidade, que permite a execução remota de código arbitrário, foi corrigida nas versões 15.10.11, 16.4.1 e 16.5.0RC1 do XWiki, lançadas em fevereiro de 2025. Desde março, houve indícios de que a falha estava sendo explorada, mas foi em outubro que a VulnCheck reportou um aumento significativo nas tentativas de exploração, culminando em um pico em 7 de novembro. O RondoDox, que rapidamente está adicionando novos vetores de exploração, visa dispositivos vulneráveis para realizar ataques de negação de serviço distribuída (DDoS) utilizando protocolos HTTP, UDP e TCP. Além disso, outras tentativas de ataque têm sido observadas, como a entrega de mineradores de criptomoedas e a criação de shells reversos. A CISA dos EUA incluiu a vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas, exigindo que agências federais implementem as devidas mitig ações até 20 de novembro. Este cenário ressalta a importância de práticas robustas de gerenciamento de patches para garantir a proteção adequada.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu a vulnerabilidade CVE-2025-24893 em seu catálogo de Vulnerabilidades Conhecidas Exploited, destacando um grave problema de injeção de código na plataforma XWiki. Essa falha permite que qualquer usuário convidado execute código remoto arbitrário sem autenticação, representando um risco significativo para organizações que utilizam essa plataforma de wiki de código aberto. A vulnerabilidade está relacionada ao componente SolrSearch do XWiki, que não trata adequadamente as funções de avaliação de código, permitindo que atacantes não autenticados injetem código malicioso. A CISA estabeleceu o dia 20 de novembro de 2025 como prazo crítico para que as organizações implementem correções de segurança fornecidas pela equipe de desenvolvimento do XWiki. Para organizações que não conseguem aplicar as correções imediatamente, a CISA recomenda a suspensão do uso da plataforma até que a remediação completa seja possível. Embora não haja evidências de exploração ativa, a gravidade da vulnerabilidade sugere que os atacantes podem rapidamente desenvolver códigos de exploração contra sistemas não corrigidos. As equipes de segurança devem realizar um inventário de todas as implementações do XWiki e estabelecer procedimentos de teste de patches antes da implementação em larga escala.