Проблема связана с ошибкой CVE-2025-24893 с оценкой 9.8 по шкале CVSS, пишет Securitylab. Этот изъян позволяет гостевому пользователю удалённо выполнять произвольный код через обращение к «/bin/get/Main/SolrSearch». Разработчики закрыли дыру в версиях XWiki 15.10.11, 16.4.1 и 16.5.0RC1 ещё в конце февраля 2025 года. Однако часть серверов продолжает работать на старых сборках, что открывает путь для неразрешённого доступа. Весной появились первые подтверждения эксплуатации, а в конце октября команда VulnCheck сообщила о новых цепочках атак, в которых уязвимость применялась для развертывания криптомайнера.
Позже американское агентство CISA включило CVE-2025-24893 в каталог активно используемых уязвимостей и обязало федеральные структуры установить защитные обновления до 20 ноября. На этом фоне VulnCheck снова заметили резкий рост вредоносной деятельности: пик пришёлся на 7 ноября, а затем последовал очередной всплеск 11 числа. Такое поведение объясняется расширением круга злоумышленников, которые параллельно сканируют интернет в поисках доступных целей.
С конца октября ботнет RondoDox использует обнаруженный дефект XWiki, чтобы втягивать уязвимые серверы в инфраструктуру, применяемую для DDoS-атак по HTTP, UDP и TCP. Первые попытки применения этой схемы зафиксированы 3 ноября. Параллельно другие группы используют ту же брешь для установки майнеров, создания обратного соединения и сбора сведений о конфигурации, применяя в том числе шаблоны Nuclei для поиска подходящих целей.