Los actores de amenazas están explotando activamente múltiples fallas de seguridad que afectan a Dassault Systèmes DELMIA Apriso y XWiki, según alertas emitidas por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y VulnCheck.
Las vulnerabilidades se enumeran a continuación:
- CVE-2025-6204 (Puntuación CVSS: 8,0): una vulnerabilidad de inyección de código en Dassault Systèmes DELMIA Apriso que podría permitir a un atacante ejecutar código arbitrario.
- CVE-2025-6205 (Puntuación CVSS: 9,1): una vulnerabilidad de autorización faltante en Dassault Systèmes DELMIA Apriso que podría permitir a un atacante obtener acceso privilegiado a la aplicación.
- CVE-2025-24893 (Puntuación CVSS: 9,8) – Una neutralización inadecuada de la entrada en una llamada de evaluación dinámica (también conocida como inyección de evaluación) en XWiki que podría permitir a cualquier usuario invitado realizar una ejecución remota de código arbitrario a través de una solicitud al punto final «/bin/get/Main/SolrSearch».
Ambos CVE-2025-6204 y CVE-2025-6205 afectan las versiones de DELMIA Apriso desde la versión 2020 hasta la versión 2025. Fueron abordadas por Dassault Systèmes a principios de agosto.
Según detalles compartido Según los investigadores de ProjectDiscovery Rahul Maini, Harsh Jaiswal y Parth Malhotra el mes pasado, las dos fallas de seguridad se pueden combinar en una cadena de explotación para crear cuentas con privilegios elevados y luego colocar archivos ejecutables en un directorio servido en la web, lo que resulta en un compromiso total de la aplicación.
Curiosamente, la adición de las dos deficiencias a las vulnerabilidades explotadas conocidas (KEV) el catálogo llega poco más de un mes después de CISA marcado la explotación de otra falla crítica en el mismo producto (CVE-2025-5086, puntuación CVSS: 9.0), una semana después de que SANS Internet Storm Center detectara intentos en estado salvaje. Actualmente no se sabe si estos esfuerzos están relacionados.
VulnCheck, que detectó por primera vez intentos de explotación dirigidos a CVE-2025-24893 el 24 de octubre de 2025, dijo que se está abusando de la vulnerabilidad como parte de una cadena de ataque de dos etapas que entrega un minero de criptomonedas. De acuerdo a MultitudSec y ciclose dice que la vulnerabilidad se utilizó como arma en ataques del mundo real desde marzo de 2025.
«Observamos múltiples intentos de explotación contra nuestros canarios XWiki provenientes de un atacante geolocalizado en Vietnam», dijo Jacob Baines de VulnCheck. «La explotación se lleva a cabo en un flujo de trabajo de dos pasos separados por al menos 20 minutos: el primer paso pone en marcha un descargador (escribe un archivo en el disco) y el segundo paso lo ejecuta».
La carga útil utiliza wget para recuperar un descargador («x640») de «193.32.208[.]24:8080» y escríbalo en la ubicación «/tmp/11909». El descargador, a su vez, ejecuta comandos de shell para recuperar dos cargas útiles adicionales del mismo servidor:
- x521, que recupera el minero de criptomonedas ubicado en «193.32.208[.]24:8080/rDuiQRKhs5/tcrond»
- x522, que elimina a los mineros competidores como XMRig y Kinsing, y lanza el minero con una configuración c3pool.org
El tráfico de ataque, según VulnCheck, se origina en una dirección IP que se ubica geográficamente en Vietnam («123.25.249[.]88«) y ha sido marcado como malicioso en AbuseIPDB por participar en intentos de fuerza bruta el 26 de octubre de 2025.
A la luz de la explotación activa, se recomienda a los usuarios que apliquen las actualizaciones necesarias lo antes posible para protegerse contra amenazas. Varias agencias del Poder Ejecutivo Civil (FCEB) deben remediar las fallas de DELMIA Apriso antes del 18 de noviembre de 2025.
Fuente