Atores mal-intencionados estão explorando ativamente múltiplas vulnerabilidades que afetam o Dassault Systèmes DELMIA Apriso e o XWiki, conforme alertas divulgados pela Cybersecurity and Infrastructure Security Agency (CISA) dos EUA e pela VulnCheck.
As falhas identificadas são:
-
CVE-2025-6204
(pontuação CVSS: 8.0) – vulnerabilidade de code injection no DELMIA Apriso que permite a execução remota de código arbitrário por invasores.
-
CVE-2025-6205
(pontuação CVSS: 9.1) – falha de autorização no DELMIA Apriso que pode conceder acesso privilegiado ao aplicativo.
-
CVE-2025-24893
(pontuação CVSS: 9.8) – neutralização inadequada de entrada em chamada de avaliação dinâmica (eval injection) no XWiki, possibilitando a execução remota arbitrária de código por qualquer usuário via requisição ao endpoint "/bin/get/Main/SolrSearch".
As vulnerabilidades
CVE-2025-6204
e
CVE-2025-6205
afetam as versões do DELMIA Apriso desde o Release 2020 até o Release 2025 e já foram corrigidas pela Dassault Systèmes no início de agosto.
Curiosamente, a inclusão dessas duas falhas no catálogo Known Exploited Vulnerabilities (KEV) da CISA ocorreu pouco mais de um mês após a agência alertar sobre a exploração de outra vulnerabilidade crítica no mesmo produto (
CVE-2025-5086
, CVSS 9.0).
A detecção desse último exploit ocorreu logo após o SANS Internet Storm Center registrar tentativas em ambiente real.
Ainda não está claro se essas investidas têm relação entre si.
A VulnCheck, que identificou ataques explorando a
CVE-2025-24893
no XWiki, informou que a vulnerabilidade está sendo usada em um ataque em duas etapas que instala um minerador de criptomoedas.
De acordo com as pesquisas da CrowdSec e da Cyble, essa falha vem sendo explorada em ataques reais desde março de 2025.
Jacob Baines, da VulnCheck, comentou: "Observamos múltiplas tentativas de exploit contra nossos canários XWiki originadas de um invasor localizado no Vietnã.
A exploração ocorre em duas fases, separadas por pelo menos 20 minutos: primeiro, um downloader é baixado para o disco; depois, ele é executado."
O payload utiliza o wget para baixar um downloader chamado "x640" do servidor "193.32.208[.]24:8080" e salvá-lo em "/tmp/11909".
Esse downloader, por sua vez, executa comandos shell para obter dois payloads adicionais:
- x521: responsável por baixar o minerador de criptomoedas hospedado em "193.32.208[.]24:8080/rDuiQRKhs5/tcrond".
- x522: elimina mineradores concorrentes como XMRig e Kinsing, além de iniciar o minerador configurado para o pool c3pool.org.
Segundo a VulnCheck, o tráfego do ataque parte de um endereço IP geolocalizado no Vietnã ("123.25.249[.]88"), identificado como malicioso no banco de dados AbuseIPDB por atividade de brute-force até 26 de outubro de 2025.
Diante da exploração ativa dessas falhas, é fundamental que usuários e organizações apliquem as atualizações recomendadas o quanto antes para se proteger.
Diversas agências do Civilian Executive Branch (FCEB) dos EUA têm prazo até 18 de novembro de 2025 para corrigir as vulnerabilidades no DELMIA Apriso.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...