Een kritieke kwetsbaarheid in XWiki wordt sinds een aantal weken door meer aanvallers misbruikt, zo waarschuwt securitybedrijf VulnCheck. Dat kwam eind vorige maand met de melding dat het beveiligingslek (CVE-2025-24893) werd gebruikt voor de installatie van cryptominers op kwetsbare systemen. XWiki is opensourcesoftware voor het opzetten van een wiki-platform.

Via CVE-2025-24893 kan een ongeauthenticeerde aanvaller op afstand code op kwetsbare installaties uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Eind 2024 brachten de ontwikkelaars een beveiligingsupdate voor de kwetsbaarheid uit. In de praktijk blijkt dat niet alle XWiki-beheerders die hebben geïnstalleerd.

Begin dit jaar meldde securitybedrijf CrowdSec al dat aanvallers misbruik van het beveiligingslek maakten, maar gaf geen verdere informatie. Vorige maand kwam VulnCheck met het bericht dat de kwetsbaarheid door een aanvaller werd gebruikt voor de installatie van cryptominers. Nu meldt het securitybedrijf dat meer aanvallers het lek bij aanvallen gebruiken. Het gaat onder andere om het RondoDox-botnet. Daarnaast zijn er aanvallers die via het lek ook cryptominers installeren.

"CVE-2025-24893 is een bekend verhaal: één aanvaller gaat eerst en velen volgen. Binnen dagen na het eerste misbruik zagen we botnets, miners en opportunistische scanners die allemaal hetzelfde lek gebruiken", aldus de onderzoekers. Volgens Netlas.io lopen bijna zestienhonderd XWiki-installaties risico.