Según las alertas emitidas por la Agencia de Seguridad de Infraestructuras y Ciberseguridad de los Estados Unidos, los actores de amenazas están explotando activamente las múltiples fallas de seguridad que afectan a Dassault Systèmes, DELMIA Apriso y XWiki ( CISA ) y Comprobación de Vuln .
Las vulnerabilidades se enumeran a continuación:
- CVE-2025-6204 (Puntuación CVSS: 8.0): una vulnerabilidad de inyección de código en Dassault Systèmes DELMIA Apriso que podría permitir a un atacante ejecutar código arbitrario.
- CVE-2025-6205 (Puntuación CVSS: 9,1): falta una vulnerabilidad de autorización en Dassault Systèmes DELMIA Apriso que podría permitir a un atacante obtener acceso privilegiado a la aplicación.
- CVE-2025-24893 (Puntuación CVSS: 9,8): una neutralización inadecuada de la entrada en una llamada de evaluación dinámica (también conocida como inyección de evaluación ) en XWiki que podría permitir a cualquier usuario invitado ejecutar código remoto arbitrariamente mediante una solicitud al punto final «/bin/get/main/solrsearch».
Ambos CVE-2025-6204 y CVE-2025-6205 afectan a las versiones de DELMIA Apriso desde la versión 2020 hasta la versión 2025. Dassault Systèmes abordó estas cuestiones a principios de agosto.
Según los detalles compartido realizado el mes pasado por los investigadores de ProjectDiscovery Rahul Maini, Harsh Jaiswal y Parth Malhotra, las dos fallas de seguridad se pueden combinar en una cadena de exploits para crear cuentas con privilegios elevados y, luego, colocar los archivos ejecutables en un directorio web, lo que resulta en un compromiso total de la aplicación.
Curiosamente, la adición de las dos deficiencias a las vulnerabilidades explotadas conocidas ( KEV ) el catálogo llega poco más de un mes después de CISA marcado la explotación de otra falla crítica en el mismo producto (CVE-2025-5086, puntuación CVSS: 9.0), una semana después de que SANS Internet Storm Center detectara intentos espontáneos. Actualmente no se sabe si estos esfuerzos están relacionados.
VulnCheck, que detectó intentos de explotación dirigidos al CVE-2025-24893, dijo que se está abusando de la vulnerabilidad como parte de una cadena de ataque en dos etapas que lanza un minero de criptomonedas. Según CrowdSec y Cyble , se dice que la vulnerabilidad se utilizó como arma en ataques del mundo real ya en marzo de 2025.
«Observamos múltiples intentos de explotación contra nuestros canarios de XWiki por parte de un atacante geolocalizado en Vietnam», afirma Jacob Baines, de VulnCheck. «La explotación se lleva a cabo mediante un flujo de trabajo de dos pasos separados por al menos 20 minutos: en el primer paso se ejecuta un programa de descarga (se graba un archivo en el disco) y en el segundo se ejecuta posteriormente».
La carga usa wget para recuperar un descargador («x640") de «193.32.208 [.] 24:8080» y escribirlo en la ubicación «/tmp/11909". El descargador, a su vez, ejecuta comandos de shell para obtener dos cargas útiles adicionales del mismo servidor:
- x521, que busca el minero de criptomonedas ubicado en «193.32.208 [.] 24:8080 /RDUIQRKHS5/tcrond»
- x522, que mata a los mineros de la competencia, como XMRig y Kinsing, y lanza el minero con una configuración de c3pool.org
El tráfico de ataque, según VulnCheck, se origina en una dirección IP que se geolocaliza en Vietnam (» 123.25.249 [.] 88 «) y ha sido marcado como malicioso en AbuseIPDB por participar en intentos de fuerza bruta tan recientemente como el 26 de octubre de 2025.
En vista de una explotación activa, se recomienda a los usuarios que apliquen las actualizaciones necesarias lo antes posible para protegerse contra las amenazas. Varias agencias del Poder Ejecutivo Civil (FCEB) están obligadas a subsanar las deficiencias del DELMIA Apriso antes del 18 de noviembre de 2025.