名為RondoDox 的殭屍網路惡意軟體已被發現針對未打補丁的 XWiki 實例，利用其存在的嚴重安全漏洞，攻擊者可以利用該漏洞執行任意程式碼。

此漏洞編號為 CVE-2025-24893（CVSS 評分：9.8），是一個 eval 注入漏洞，任何訪客使用者都可以透過向「/bin/get/Main/SolrSearch」端點發送請求來執行任意遠端程式碼。該漏洞已於 2025 年 2 月下旬由 XWiki 維護人員在 15.10.11、16.4.1 和 16.5.0RC1 版本中修復。

這個評分高達9.8的嚴重漏洞，本質上是一個遠端程式碼執行（Remote Code Execution, RCE）漏洞，其危險性在於攻擊者不需要任何有效的帳號憑證，僅需以一般訪客身分即可成功發動攻擊。由於 XWiki 是一種廣泛用於企業協作和知識管理的應用程式，其安全漏洞被利用的後果可能導致敏感資料外洩、系統癱瘓，甚至成為攻擊者進入企業內網的突破口。特別是 eval 注入漏洞，允許攻擊者將惡意程式碼直接注入並在伺服器環境中執行，提供了極高的攻擊自由度。

VulnCheck週五發布的一份最新報告顯示，他們觀察到攻擊嘗試數量激增，11月7日達到新高，11月11日又出現另一波高峰。這其中包括 RondoDox，這是一個正在迅速增加新的攻擊途徑的殭屍網絡，它利用 HTTP、UDP 和 TCP 協議，將易受攻擊的設備納入其殭屍網絡，從而發起分散式拒絕服務 (DDoS) 攻擊。

RondoDox 殭屍網路的快速擴散和攻擊行為的激增，清楚地表明了攻擊者正主動且系統性地掃描網路中所有未修補的XWiki實例。一旦成功利用該漏洞，這些XWiki伺服器就會被劫持，成為RondoDox殭屍網路的一部分，隨後被用作發動大規模DDoS攻擊的節點，或是用於傳播其他形式的惡意軟體。除了DDoS攻擊外，已觀察到其他攻擊利用該漏洞來傳播加密貨幣挖礦程序，以及嘗試建立反向 shell 和使用Nuclei 模板進行針對 CVE-2025-24893 的一般探測活動。這些不同的惡意負載類型，反映了攻擊者利用RCE漏洞後的多樣化目的。無論是為DDoS獲取僵屍設備，還是利用計算資源進行挖礦牟利，其核心都是對企業資產的非法利用。研究結果再次表明，需要採取強有力的修補程式管理措施，以確保最佳的防護效果。所有使用XWiki的企業應立即將系統更新至已修補的版本（15.10.11、16.4.1 或 16.5.0RC1 及以上），以防止被RondoDox或其他利用該漏洞的威脅團體所入侵。