Los actores de amenazas están explotando activamente múltiples fallas de seguridad que afectan a Dassault Systèmes DELMIA Apriso y XWiki, según alertas emitidas por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y VulnCheck.
Las vulnerabilidades se enumeran a continuación:
- CVE-2025-6204 (Puntuación CVSS: 8,0): una vulnerabilidad de inyección de código en Dassault Systèmes DELMIA Apriso que podría permitir a un atacante ejecutar código gratuito.
- CVE-2025-6205 (Puntuación CVSS: 9,1): una vulnerabilidad de autorización faltante en Dassault Systèmes DELMIA Apriso que podría permitir a un atacante obtener paso privilegiado a la aplicación.
- CVE-2025-24893 (Puntuación CVSS: 9,8): una neutralización inadecuada de la entrada en una indicación de evaluación dinámica (asimismo conocida como inyección de evaluación) en XWiki que podría permitir a cualquier agraciado invitado realizar una ejecución remota de código gratuito a través de una solicitud al punto final «/bin/get/Main/SolrSearch».
Tanto CVE-2025-6204 como CVE-2025-6205 afectan a las versiones de DELMIA Apriso desde la lectura 2020 hasta la lectura 2025. Dassault Systèmes los solucionó a principios de agosto.
Según los detalles compartidos por los investigadores de ProjectDiscovery Rahul Maini, Harsh Jaiswal y Parth Malhotra el mes pasado, las dos fallas de seguridad se pueden combinar en una dependencia de explotación para crear cuentas con privilegios elevados y luego colocar archivos ejecutables en un directorio servido en la web, lo que resulta en un compromiso total de la aplicación.
Curiosamente, la suplemento de las dos deficiencias al catálogo de vulnerabilidades explotadas conocidas (KEV) se produce poco más de un mes a posteriori de que CISA señalara la explotación de otra equivocación crítica en el mismo producto (CVE-2025-5086, puntuación CVSS: 9.0), una semana a posteriori de que SANS Internet Storm Center detectara intentos en estado salvaje. Actualmente no se sabe si estos esfuerzos están relacionados.
VulnCheck, que detectó por primera vez intentos de explotación dirigidos a CVE-2025-24893 el 24 de octubre de 2025, dijo que se está abusando de la vulnerabilidad como parte de una dependencia de ataque de dos etapas que entrega un minero de criptomonedas. Según CrowdSec y Cyble, se dice que la vulnerabilidad se utilizó como armas en ataques del mundo existente ya en marzo de 2025.
«Observamos múltiples intentos de explotación contra nuestros canarios XWiki provenientes de un atacante geolocalizado en Vietnam», dijo Jacob Baines de VulnCheck. «La explotación se lleva a lado en un flujo de trabajo de dos pasos separados por al menos 20 minutos: el primer paso pone en marcha un descargador (escribe un archivo en el disco) y el segundo paso lo ejecuta».
La carga útil utiliza wget para recuperar un descargador («x640») de «193.32.208(.)24:8080» y escribirlo en la ubicación «/tmp/11909». El descargador, a su vez, ejecuta comandos de shell para recuperar dos cargas aperos adicionales del mismo servidor:
- x521, que recupera el minero de criptomonedas enclavado en «193.32.208(.)24:8080/rDuiQRKhs5/tcrond»
- x522, que elimina a los mineros competidores como XMRig y Kinsing, y vara el minero con una configuración c3pool.org
El tráfico de ataque, según VulnCheck, se origina en una dirección IP que se localiza geográficamente en Vietnam («123.25.249(.)88») y ha sido impresionado como pillo en AbuseIPDB por participar en intentos de fuerza bruta tan recientemente como el 26 de octubre de 2025.
A la luz de la explotación activa, se recomienda a los usuarios que apliquen las actualizaciones necesarias lo antiguamente posible para ampararse contra amenazas. Varias agencias del Poder Ejecutor Civil (FCEB) deben remediar las fallas de DELMIA Apriso antiguamente del 18 de noviembre de 2025.
