Negli ultimi giorni sono emerse gravi vulnerabilità che stanno colpendo due software molto utilizzati, Dassault Systèmes DELMIA Apriso e XWiki. Secondo le segnalazioni della CISA, l’agenzia americana per la sicurezza informatica, e VulnCheck, questi difetti di sicurezza sono già oggetto di exploit attivi da parte di attori malevoli. L’attenzione si concentra su tre specifiche vulnerabilità: CVE-2025-6204 (punti CVSS 8.0), una vulnerabilità di code injection su DELMIA Apriso che permette l’esecuzione di codice arbitrario; CVE-2025-6205 (CVSS 9.1), sempre su DELMIA Apriso, che consente a un utente malintenzionato di ottenere privilegi elevati a causa di mancanza di controlli di autorizzazione; e infine CVE-2025-24893 (CVSS 9.8), una falla di eval injection su XWiki che permette a qualsiasi utente guest di eseguire codice remoto tramite l’endpoint SolrSearch.
Le vulnerabilità su DELMIA Apriso
Le due vulnerabilità su DELMIA Apriso interessano tutte le versioni dalla release 2020 fino alla release 2025 e sono state corrette da Dassault Systèmes ad agosto. Tuttavia, la combinazione delle due falle consente di creare una catena di exploit che permette a un attaccante di creare account con privilegi elevati e depositare file eseguibili in directory pubbliche, arrivando così a compromettere l’intera applicazione.
La falla su XWiki e gli attacchi miner
La vulnerabilità di XWiki, invece, è particolarmente grave perché viene sfruttata per una catena di attacco in due fasi, documentata da VulnCheck. Nella prima fase, l’attaccante scrive un downloader sul sistema vulnerabile, mentre nella seconda fase lo esegue, scaricando ulteriori payload. In particolare, vengono scaricati e lanciati script che installano un cryptominer, eliminando eventuali miner concorrenti come XMRig e Kinsing, e configurando il miner per sfruttare la potenza di calcolo della vittima a beneficio dell’attaccante.
Gli attacchi sono stati attribuiti a fonti geolocalizzate in Vietnam e l’indirizzo IP coinvolto risulta già segnalato per attività malevole. La minaccia non è solo teorica: secondo CrowdSec e Cyble, la vulnerabilità di XWiki è sfruttata in attacchi reali almeno dal marzo 2025.
Raccomandazioni di sicurezza
Alla luce di questi exploit attivi, gli utenti sono fortemente invitati ad aggiornare immediatamente le proprie installazioni di DELMIA Apriso e XWiki applicando le patch rilasciate dai produttori. La tempestività è fondamentale per proteggere i dati aziendali e prevenire compromissioni che possono portare non solo a furti di informazioni, ma anche a danni economici legati al mining illecito di criptovalute.