Eine kritische Schwachstelle in ShowDoc - einer hochverwendeten Management- und Dokumentar-Kollaborationsplattform in China - ist deshalb relevanter geworden, weil sie jetzt in der realen Welt aktiv genutzt wird. als CVE-2025-0520 (auch CNVD-2020-26585), dieser Ausfall hat eine CVSS-Score von 9.4 / 10, die es als sehr hohes Risiko klassifiziert und geeignet, ernsthafte Intrusionen zu ermöglichen, wenn nicht korrigiert.
Das Problem liegt in einem Fall der uneingeschränkten Dateibelastung: Die Anwendung wertet Erweiterungen nicht richtig aus und ermöglicht es Ihnen, schädliche PHP-Dateien hochzuladen. Mit diesem Vektor kann ein Angreifer eine Web-Shell auf dem Server platzieren und Code in einer Entfernung ausführen, die Kontrolle über die gefährdete Instanz. Vorherige Untersuchungen und technische Hinweise hatten bereits darauf hingewiesen, dass die pre-2.8.7 Versionen für diese Technik anfällig waren und dass der entsprechende Patch in der im Oktober 2020 veröffentlichten 2.8.7-Version eingeführt wurde.
Im Oktober 2020 startete ShowDoc die Korrektur, und seitdem hat sich das Projekt zu den aktuellen Zweigen weiterentwickelt (die stabile Version zum Zeitpunkt des Schreibens ist 3.8.1). Dennoch wurde nach dem Follow-up von Caitlin Condon, Vice President of Security Research bei VulnCheck, die Verwundbarkeit bei Angriffen auf den Boden ausgenutzt: Eine Explosion wurde beobachtet, dass eine Web-Shell in einem US-basierten Honigtopf, der eine verletzliche Version von ShowDoc ausgeführt. Dies bestätigt, dass auch wenn der Ausfall alt ist, die Angreifer weiterhin veraltete Instanzen suchen und ausnutzen.
Öffentliche Daten zeigen, dass mehr als 2.000 ShowDoc-Instanzen aus dem Internet zugänglich sind, mit einer signifikanten Konzentration in China. Dieses Bild erklärt, warum eine bekannte und gepatelte Schwachstelle gefährlich bleiben kann: viele Einsatzbereiche werden nicht aktualisiert oder offen bleiben, was leichten Zielen für bösartige Akteure bietet, die diese sogenannten "N-day"-Versagen nutzen - bekannte Schwachstellen, für die Patch existiert, aber die noch in unupdated Einrichtungen verwendet werden.
Für diejenigen, die ShowDoc verwalten, ist die Empfehlung klar: die neueste Version so schnell wie möglich zu aktualisieren. Update gilt nicht nur für die Dateibeladung, sondern reduziert die Angriffsfläche gegen andere technische Fehler, die im Laufe der Zeit entdeckt wurden. Neben der Aktualisierung der Software ist es ratsam, Datensätze und Inhalte in Upload-Verzeichnungen auf der Suche nach PHP-Dateien oder Web-Shells zu überprüfen, segregate die Instanzen, die dem Internet ausgesetzt sind und Perimeter-Steuerungen wie Web Application Firewalls (WAF) und Lock-Regeln anwenden. Es ist auch angebracht, Benutzer und Berechtigungen zu überprüfen, und sichere Backup- und Vorfall-Reaktionslisten im Falle von Intrusionen zu berücksichtigen.
Wenn Sie die technische Referenz sehen möchten, warum diese Art von Dateibeladung gefährlich ist, behält OWASP sehr nützliche Dokumentation zu Risiken im Zusammenhang mit unkontrollierten Gebühren: OWASP - Unrestricted File Upload. Informationen zum ShowDoc-Projekt und seinen Starts finden Sie im öffentlichen Repository in GitHub: star7th / showdoc in GitHub. Und für die Fallüberwachung und die aktive Verwertungsanalyse können Sie an der VulnCheck-Seite interessiert sein, aus der Details des Vorfalls geteilt wurden: VulnCheck. Schließlich, wenn Sie nach dem offiziellen CVE-Tab suchen, zentralisiert das NVD-Portal diese Einträge in der Regel: NVD - Nationale Schwachstelle Datenbank.
Diese Episode ist eine gute Erinnerung, dass die einfache Tatsache, dass es einen Patch gibt, nicht verhindern, dass eine Sicherheitslücke gefährlich bleibt: die Verwaltung von Updates, die Sichtbarkeit der exponierten Instanzen und die grundlegenden Praktiken der operativen Härtung sind so wichtig wie der Patch selbst. Wenn Sie ShowDoc verwalten oder für eine Umgebung verantwortlich sind, die sie verwendet, lassen Sie nicht ein Update für morgen, das eine Störung heute vermeiden kann.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...