Falha crítica no XWiki é explorada ativamente por múltiplos atores de ameaça

Uma vulnerabilidade crítica, com pontuação 9,8, no XWiki está a ser explorada de forma ativa por uma variedade de cibercriminosos, desde botnets e software de mineração de criptomoedas a ferramentas personalizadas, segundo revelou a VulnCheck.

A vulnerabilidade, identificada como CVE-2025-24893, permite a execução remota de código e tem sido utilizada desde março de 2025 para lançar programas de mineração de criptomoedas sem intervenção direta.

Os servidores XWiki suportam uma plataforma wiki open source baseada em Java, utilizada para criar, organizar e partilhar conhecimento e aplicações colaborativas em organizações. A VulnCheck publicou informações sobre a falha a 28 de outubro, enquanto a CISA incluiu a vulnerabilidade no seu catálogo KEV a 30 de outubro.

Louis Eichenbaum, CTO da ColorTokens, alerta que “as vulnerabilidades exploráveis estão a surgir mais rápido do que as organizações conseguem responder”. Segundo o responsável, mesmo com a identificação eficiente de KEV pela CISA, a aplicação de patches continua a ser um desafio, uma vez que “frequentemente, leva dias, semanas ou meses para aplicar correções em ambientes complexos, e em alguns casos, as equipas não conseguem atualizar sistemas legados sem comprometer funções críticas”.

Jason Soroko, senior fellow na Sectigo, acrescenta que a exploração da injeção eval no XWiki tem permitido a implementação “automatizada” de programas de mineração de criptomoedas e adverte que “scans oportunistas podem atingir qualquer instância exposta. Considerem todas como de alto risco para sistemas expostos à internet e para qualquer ambiente onde estas aplicações tenham acesso a dados sensíveis ou sistemas de compilação”.

O especialista recomenda medidas como atualizar o XWiki para uma versão corrigida, desativar acessos anónimos desnecessários, restringir endpoints a utilizadores autenticados, monitorizar alterações suspeitas de utilizadores e ficheiros, e reduzir a exposição das aplicações através de SSO, MFA, segmentação de servidores e regras WAF. É igualmente aconselhável preparar playbooks de incidentes que incluam rotação de credenciais e reconstrução de servidores caso surjam indicadores de comprometimento.