Sự cố được theo dõi là CVE-2025-24893 (điểm CVSS: 9.8), cho phép kẻ tấn công thực thi mã tùy ý từ xa bằng cách gửi yêu cầu đến macro SolrSearch, sử dụng công cụ Solr nhúng để tìm kiếm toàn văn. Do macro xử lý không đúng cách các tham số tìm kiếm trong Groovy, nên kẻ tấn công từ xa chưa được xác thực có thể tạo các yêu cầu tìm kiếm, đồng thời chèn mã độc hại sẽ được thực thi với quyền của máy chủ web.

“Lỗi cụ thể nằm ở việc xử lý tham số văn bản được cung cấp cho điểm cuối SolrSearchMacros. Sự cố này xuất phát từ việc thiếu xác thực hợp lệ chuỗi do người dùng cung cấp trước khi sử dụng nó để thực thi lệnh gọi hệ thống. Kẻ tấn công có thể lợi dụng lỗ hổng này để thực thi mã trong ngữ cảnh của tài khoản dịch vụ”, một khuyến cáo của ZDI cho biết.

Việc khai thác thành công lỗ hổng cho phép kẻ tấn công tiết lộ thông tin nhạy cảm hoặc thực hiện các lệnh hệ thống với quyền của người dùng đang chạy máy chủ web. Lỗ hổng bảo mật này đã được John Kwak của Trend Micro báo cáo vào tháng 5/2024 và từng được giải quyết trong XWiki phiên bản 15.10.11, 16.4.1 và 16.5.0RC1 vào tháng 6/2024.

Chi tiết kỹ thuật về lỗi này xuất hiện khoảng nửa năm sau đó và một khuyến cáo của NVD đã được công bố vào tháng 02/2025. Đầu năm nay, Công ty an ninh mạng CrowdSec đã phát hiện lỗ hổng này bị lợi dụng để do thám, nhưng ghi nhận sự suy giảm hoạt động xung quanh nó. Hiện tại, VulnCheck cho biết họ đã xác định được các cuộc tấn công thực tế khai thác CVE-2025-24893 để triển khai một công cụ khai thác tiền điện tử.

“Chúng tôi đã phát hiện nhiều nỗ lực khai thác nhắm vào XWiki canary đến từ một kẻ tấn công có vị trí địa lý tại Việt Nam. Việc khai thác diễn ra theo quy trình hai lần, mỗi lần cách nhau ít nhất 20 phút: Đầu tiên khởi chạy trình tải xuống (ghi tệp vào ổ đĩa) và lần thứ hai thực thi tệp đó”, VulnCheck lưu ý.

VulnCheck cho biết các cuộc tấn công này có vẻ là một phần của hoạt động khai thác tiền điện tử, đồng thời nhấn mạnh lưu lượng truy cập được quan sát có nguồn gốc từ một địa chỉ IP cũng có liên quan đến các hoạt động độc hại khác.