Агентство кибербезопасности и безопасности инфраструктуры США (CISA) добавило две новые уязвимости в свой каталог известных эксплуатируемых уязвимостей (KEV) на основании доказательств активного использования их злоумышленниками. Речь идет о критической уязвимости в платформе XWiki и опасной уязвимости в продуктах VMware, которые представляют серьезную угрозу для федеральных ведомств и коммерческих организаций.
Детали уязвимостей
Первая из добавленных уязвимостей получила идентификатор CVE-2025-24893 и затрагивает платформу XWiki - универсальную вики-платформу, предоставляющую сервисы времени выполнения для приложений, построенных на ее основе. Уязвимость классифицирована как критическая с оценкой 9.8 по шкале CVSS 3.1. Проблема заключается в возможности инъекции кода через механизм оценки выражений (eval injection), позволяющей любому гостевому пользователю выполнять произвольный удаленный код через запрос к компоненту SolrSearch.
Эксплуатация данной уязвимости напрямую угрожает конфиденциальности, целостности и доступности всей установки XWiki. Для проверки уязвимости достаточно без авторизации перейти по специально сформированному URL-адресу, содержащему вредоносный код на языке Groovy. Если в заголовке RSS-ленты отображается текст "Hello from search text:42", это свидетельствует об уязвимости системы. Разработчики уже выпустили исправления в версиях XWiki 15.10.11, 16.4.1 и 16.5.0RC1, и администраторам настоятельно рекомендуется обновить свои системы. Для тех, кто не может немедленно выполнить обновление, доступен временный обходной путь - редактирование файла Main.SolrSearchMacros в SolrSearchMacros.xml на строке 955 для соответствия макросу rawResponse в macros.vm с установкой типа содержимого application/xml.
Вторая уязвимость CVE-2025-41244 обнаружена в продуктах Broadcom VMware Aria Operations и VMware Tools. Она оценивается как высокоопасная с баллом 7.8 по шкале CVSS 3.1 и представляет собой проблему эскалации привилегий. Локальный злоумышленник с непривилегированными правами доступа, имеющий доступ к виртуальной машине с установленными VMware Tools и управляемой через Aria Operations с включенным SDMP, может использовать эту уязвимость для повышения своих привилегий до уровня root на той же виртуальной машине.
Добавление этих уязвимостей в каталог KEV означает, что федеральные агентства США должны в срочном порядке применить соответствующие исправления до установленных сроков. Для CVE-2025-24893 крайний срок устранения установлен на 10 марта 2025 года, а для CVE-2025-41244 - на 17 марта 2025 года. Хотя требования каталога формально распространяются только на федеральные ведомства, CISA рекомендует всем организациям уделять приоритетное внимание устранению уязвимостей из этого списка, поскольку они являются частыми векторами атак для злонамеренных кибер-акторов.
Особую озабоченность у экспертов по безопасности вызывает характер этих уязвимостей. CVE-2025-24893 позволяет выполнять удаленный код без аутентификации, что делает ее особенно опасной для интернет-ориентированных систем. В свою очередь, CVE-2025-41244 создает риски в корпоративных средах виртуализации, где компрометация одной виртуальной машины может привести к полному контролю злоумышленника над системой.
Каталог известных эксплуатируемых уязвимостей CISA служит важным инструментом для организаций, позволяющим сосредоточить усилия по исправлению на тех уязвимостях, которые активно используются в реальных атаках. Регулярное отслеживание обновлений этого каталога и своевременное применение исправлений должно быть неотъемлемой частью стратегии кибербезопасности любой серьезной организации. Специалисты рекомендуют администраторам систем, использующих XWiki Platform и продукты VMware, немедленно проверить свои версии на предмет уязвимости и применить соответствующие обновления безопасности или временные меры защиты.
