Eksploati za ranjivost su javno dostupni već više od pola godine, ali je ranije korišćena samo za izviđanje.
Kritična ranjivost u popularnoj open-source platformi za preduzeća XWiki iskorišćena je u stvarnim napadima kao dio niskobudžetne kripto rudarske operacije, izvještava kompanija VulnCheck.
Problem, označen kao CVE-2025-24893 (CVSS ocjena 9.8), omogućava napadačima da daljinski izvrše proizvoljni kod slanjem zahtjeva SolrSearch makrou, koji koristi ugrađeni Solr mehanizam za pretragu teksta.
Zbog toga što makro nepravilno filtrira parametre pretrage u Groovy skripti, udaljeni, neautentifikovani napadač može da kreira zlonamjerni zahtjev i ubrizga kod koji će se izvršiti sa privilegijama web servera.
„Specifičan propust postoji u načinu na koji se obrađuje parametar text poslat SolrSearchMacros endpointu. Problem nastaje zbog nedostatka pravilne validacije korisničkog unosa prije njegovog korišćenja u sistemskom pozivu. Napadač može da iskoristi ovu ranjivost da izvrši kod u kontekstu naloga servisa“, navodi se u ZDI bezbjednosnom savjetu.
Uspješno iskorišćavanje ove ranjivosti omogućava napadačima da izlože osjetljive podatke, poremete rad sistema ili izvrše proizvoljne komande sa privilegijama korisnika koji pokreće web server.
Ranjivost je prijavio John Kwak iz kompanije Trend Micro u maju 2024. godine, a zakrpljena je u verzijama XWiki 15.10.11, 16.4.1 i 16.5.0RC1 u junu iste godine.
Tehnički detalji o propustu objavljeni su otprilike pola godine kasnije, a NVD je izdao zvanično upozorenje u februaru. Brojni proof-of-concept (PoC) eksploati dostupni su još od početka 2025. godine.
Ranije ove godine, kompanija CrowdSec je primijetila da se ranjivost koristi za izviđanje, ali je kasnije zabilježeno smanjenje aktivnosti. Sada, VulnCheck navodi da je identifikovao stvarne napade koji eksploatišu CVE-2025-24893 radi postavljanja kripto rudara.
„Primijetili smo više pokušaja eksploatacije naših XWiki canary instanci koji potiču od napadača geolociranog u Vijetnamu. Eksploatacija se odvija u dvije faze razdvojene najmanje 20 minuta: prva faza postavlja downloader (zapisuje fajl na disk), dok druga faza kasnije izvršava taj fajl,“ navodi VulnCheck.
Kompanija dodaje da se čini kako su ovi napadi dio niskobudžetne kripto rudarske kampanje, a saobraćaj potiče sa IP adrese povezane sa drugim malicioznim aktivnostima.
Izvor: SecurityWeek
