Atores mal-intencionados estão explorando ativamente múltiplas vulnerabilidades que afetam o Dassault Systèmes DELMIA Apriso e o XWiki, conforme alertas divulgados pela Cybersecurity and Infrastructure Security Agency (CISA) dos EUA e pela VulnCheck.
As falhas identificadas são:
-
CVE-2025-6204
(pontuação CVSS: 8.0) – vulnerabilidade de code injection no DELMIA Apriso que permite a execução remota de código arbitrário por invasores.
-
CVE-2025-6205
(pontuação CVSS: 9.1) – falha de autorização no DELMIA Apriso que pode conceder acesso privilegiado ao aplicativo.
-
CVE-2025-24893
(pontuação CVSS: 9.8) – neutralização inadequada de entrada em chamada de avaliação dinâmica (eval injection) no XWiki, possibilitando a execução remota arbitrária de código por qualquer usuário via requisição ao endpoint "/bin/get/Main/SolrSearch".
As vulnerabilidades
CVE-2025-6204
e
CVE-2025-6205
afetam as versões do DELMIA Apriso desde o Release 2020 até o Release 2025 e já foram corrigidas pela Dassault Systèmes no início de agosto.
Curiosamente, a inclusão dessas duas falhas no catálogo Known Exploited Vulnerabilities (KEV) da CISA ocorreu pouco mais de um mês após a agência alertar sobre a exploração de outra vulnerabilidade crítica no mesmo produto (
CVE-2025-5086
, CVSS 9.0).
A detecção desse último exploit ocorreu logo após o SANS Internet Storm Center registrar tentativas em ambiente real.
Ainda não está claro se essas investidas têm relação entre si.
A VulnCheck, que identificou ataques explorando a
CVE-2025-24893
no XWiki, informou que a vulnerabilidade está sendo usada em um ataque em duas etapas que instala um minerador de criptomoedas.
De acordo com as pesquisas da CrowdSec e da Cyble, essa falha vem sendo explorada em ataques reais desde março de 2025.
Jacob Baines, da VulnCheck, comentou: "Observamos múltiplas tentativas de exploit contra nossos canários XWiki originadas de um invasor localizado no Vietnã.
A exploração ocorre em duas fases, separadas por pelo menos 20 minutos: primeiro, um downloader é baixado para o disco; depois, ele é executado."
O payload utiliza o wget para baixar um downloader chamado "x640" do servidor "193.32.208[.]24:8080" e salvá-lo em "/tmp/11909".
Esse downloader, por sua vez, executa comandos shell para obter dois payloads adicionais:
- x521: responsável por baixar o minerador de criptomoedas hospedado em "193.32.208[.]24:8080/rDuiQRKhs5/tcrond".
- x522: elimina mineradores concorrentes como XMRig e Kinsing, além de iniciar o minerador configurado para o pool c3pool.org.
Segundo a VulnCheck, o tráfego do ataque parte de um endereço IP geolocalizado no Vietnã ("123.25.249[.]88"), identificado como malicioso no banco de dados AbuseIPDB por atividade de brute-force até 26 de outubro de 2025.
Diante da exploração ativa dessas falhas, é fundamental que usuários e organizações apliquem as atualizações recomendadas o quanto antes para se proteger.
Diversas agências do Civilian Executive Branch (FCEB) dos EUA têm prazo até 18 de novembro de 2025 para corrigir as vulnerabilidades no DELMIA Apriso.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...