A RondoDox botnet a CVE-2025-24893 azonosítón nyomon követett, kritikus RCE-sérülékenység (remote code execution) kihasználásával az XWiki platformot célozza.
Az XWiki egy Java-alapú, nyílt forráskódú vállalati wiki platform, amelyet elsősorban vállalati tudásbázisok és dokumentációs rendszerek kialakítására használnak.
A RondoDox egy botnet kártevő, amelyet először a Fortinet azonosított 2025 júliusában. Október elején a Trend Micro arra figyelmeztetett, hogy a RondoDox terjedése exponenciálisan növekszik, a legújabb variánsok pedig legalább 30-féle eszközt támadnak 56 ismert sérülékenységen keresztül.
A VulnCheck legújabb jelentése szerint a CVE-2025-24893-at már több egymástól független támadó is kihasználja. A VulnCheck november 3-tól kezdődően figyelte meg, hogy a RondoDox a CVE-2025-24893-at egy speciálisan kialakított HTTP GET-kérésen keresztül használja ki a sérülékenységet. A kérés egy Base64-kódolt Groovy-szkriptet injektál az XWiki SolrSearch-végpontjához, amelyet a sérülékeny komponens dekódol és a szerveren végrehajt. Ennek eredményeként a célzott szerver egy távoli shell-payloadot tölt le és futtat. A kiberbiztonsági kutatók további támadásokat is észleltek: november 7-én kriptobányász-telepítések történtek, október 31-én és november 11-én pedig bash-alapú reverse shell létrehozására tett kísérleteket regisztráltak.
A VulnCheck szerint Nuclei-alapú, széles körű szkennelési aktivitás is zajlik. A támadók olyan payloadokat küldenek, amelyek a Groovy-injektálást kihasználva próbálják lefuttatni a cat /etc/passwd parancsot az XWiki SolrSearch végpontján, valamint OAST-alapú szondázást is alkalmaznak.
A sérülékenységet október 30-án a CISA (Cybersecurity and Infrastructure Security Agency) aktívan kihasznált sebezhetőségeket tartalmazó KEV-katalógusban is megjelölte. A CVE-2025-24893 az XWiki 15.10.11 és 16.4.1 előtti verziókat érinti. Tekintettel a sérülékenység aktív kihasználására, erősen javasolt az érintett rendszerek azonnali frissítése.