XWiki: critica vulnerabilità RCE (CVE-2025-24893) sfruttata in-the-wild tramite PoC pubblico. Coinminer e mass exploitation
Confermato lo sfruttamento attivo (mass exploitation/“in the wild”) della vulnerabilità CVE-2025-24893 nelle installazioni XWiki fino alle versioni 15.10.11, 16.4.1 e 16.5.0RC1.
Il difetto, di gravità critica (CVSS 9.8), consiste in una template injection arbitraria nella macro SolrSearch, presente nella piattaforma di collaborazione XWiki da anni: tramite parametri di ricerca manipolati, un attaccante remoto può eseguire comandi di sistema in Groovy senza necessità di login o privilegi (guest RCE).
A partire da marzo 2025, sono state segnalate campagne massicce che sfruttano la falla tramite exploit a due passaggi (scrittura di downloader/coinminer e successiva esecuzione), tipicamente veicolando coinminer e script per l’esfiltrazione di dati e la creazione di account admin backdoor (“admin injection”).
Sono state osservate attività di reconnaissance mirata, download di file malevoli e, in alcuni casi, creazione di botnet. CrowdSec, VulnCheck e Cyble segnalano la vulnerabilità come tra le più weaponizzate del semestre.
Mitigazioni e patch:
- XWiki ha rimosso la vulnerabilità a partire da 15.10.11 (ramo 15.x), 16.4.1 (ramo 16.x) e 16.5.0RC1
- Aggiornare immediatamente tutte le istanze a tali versioni o superiori
- Disabilitare l’accesso guest e la macro SolrSearch su istanze legacy non patchabili
- Segmentare i server XWiki dalla rete e utilizzare WAF per bloccare parametri malevoli
- Monitorare [/]bin[/]get[/]main[/]solrsearch e i log per esecuzioni Groovy anomale, download sospetti, creazione di nuovi account admin
Conclusione:
Un singolo exploit RCE su XWiki espone a compromissione di dati, takeover amministrativo, pivot di malware. Patch tempestivo e chiusura accessi guest rappresentano l’unica mitigazione reale.