Kritisk XWiki-sårbarhed udnyttet i kryptomining-angreb

Eskil Sørensen
10.30.2025 11:24
EPSS-score på 94 pct.

En alvorlig sårbarhed i XWiki-platformen er under aktiv udnyttelse – nu også som led i kryptomining-angreb, hvor kompromitterede servere udnyttes til at udvinde kryptovaluta. Det bekræftes af flere kilder, herunder VulnCheck og HackRead.

Sårbarheden har id’et EUVD-2025-4562 / CVE-2025-24893 og en CVSS-score på 9.8. 

EPSS-scoren er hele 94 pct., hvilket vil sige, at der er næsten sikkerhed for, at man bliver forsøgt udnyttet, hvis man har en sårbar instans.

Udnyttelse giver frit valg fra alle hylder

Sårbarheden udnyttes via en usikret text-parameter i SolrSearch-makroen, som tillader fjernkodeeksekvering, herunder eksekvering af systemkommandoer, eksponering af følsomme data, forstyrrelse af driftskritiske funktioner og som nævnt udnyttelse af ressourcer kryptomining

Angrebene stammer fra en IP-adresse med tidligere kendt ondsindet aktivitet, geolokaliseret i Vietnam. Ifølge HackRead er der tale om en lavbudget mining-operation, men med potentielt store konsekvenser for kompromitterede institutioner.

Sårbarheden blev rapporteret af Trend Micro i maj 202 og patchet i juni 2024 i versionerne 15.10.11, 16.4.1 og 16.5.0RC1. En PoC-kode har været offentligt tilgængelig siden starten af 2025. 

CrowdSec observerede tidligere udnyttelse til rekognoscering – nu ses aktiv udnyttelse til monetær gevinst gennem kryptomining.

De berørte versioner er 

  • xwiki-platform:  
    • 5.3-milestone-2 og ældre
    • 16.0.0-rc-1 til og med 16.4.0

De anbefales, at man straks opdaterer til en sikker version: 15.10.11, 16.4.1 eller nyere. Derudover anbefales, at logs gennemgås for mistænkelig aktivitet, især relateret til RSS-feed-anmodninger og text-parameteren, og systemressourcer overvåges for tegn på kryptomining (CPU-spikes, ukendte processer).

Hvis opdatering ikke er mulig med det samme, bør kraftigt overvejes midlertidigt at deaktivere RSS-funktionalitet.  

XWiki er en open source enterprise-wiki-platform, der anvendes bredt i forsknings- og uddannelsesinstitutioner til dokumentation, samarbejde og vidensdeling. Systemet understøtter avanceret skabelonstyring, scripting og integration med databaser og søgemotorer som Apache Solr. Dette gør XWiki til et kraftfuldt værktøj – men også til et potentielt mål for angreb, hvis input ikke håndteres korrekt.

Læs mere

Sårbarhed