El malware de botnet conocido como Rondo Dox se ha observado que las instancias de XWiki sin parches atacan una falla de seguridad crítica que podría permitir a los atacantes ejecutar código arbitrariamente.
La vulnerabilidad en cuestión es CVE-2025-24893 (puntuación CVSS: 9,8), una error de inyección de evaluación eso podría permitir a cualquier usuario invitado ejecutar código remoto arbitrario mediante una solicitud al punto final «/bin/get/main/solrsearch». Lo era remendado por los mantenedores de XWiki 15.10.11, 16.4.1 y 16.5.0RC1 a finales de febrero de 2025.
Si bien había pruebas de que la deficiencia había sido explotada en estado salvaje al menos desde marzo, no fue hasta finales de octubre, cuando VulnCheck divulgado había observado nuevos intentos de convertir la falla en un arma como parte de una cadena de ataque en dos etapas para desplegar un minero de criptomonedas.
Posteriormente, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) adicional la vulnerabilidad a su catálogo de vulnerabilidades conocidas explotadas (KEV), que exige que las agencias federales apliquen las mitigaciones necesarias antes del 20 de noviembre.
En un nuevo informe publicado el viernes, VulnCheck revelada que desde entonces ha observado un aumento en los intentos de explotación, alcanzando un nuevo máximo el 7 de noviembre, seguido de otro aumento el 11 de noviembre. Esto indica que la actividad de escaneo es más amplia, probablemente impulsada por la participación de múltiples actores de amenazas en el esfuerzo.
Esto incluye RondoDox, una red de bots que está añadiendo rápidamente nuevos vectores de explotación para conectar los dispositivos vulnerables a una red de bots para llevar a cabo ataques de denegación de servicio distribuidos (DDoS) mediante los protocolos HTTP, UDP y TCP. La primera vulnerabilidad de RondoDox se detectó el 3 de noviembre de 2025, según la empresa de ciberseguridad.
Se han observado otros ataques que aprovechan la falla para entregar a los mineros de criptomonedas, así como intentos de establecer una capa inversa y una actividad de sondeo general utilizando un Plantilla de núcleos para CVE-2025-24893 .
Los hallazgos ilustran una vez más la necesidad de adoptar prácticas sólidas de administración de parches para garantizar una protección óptima.
«El CVE-2025-24893 es una historia conocida: un atacante se mueve primero y muchos lo siguen», dijo Jacob Baines, de VulnCheck. «A los pocos días de la explotación inicial, vimos cómo botnets, mineros y escáneres oportunistas adoptaban la misma vulnerabilidad».