Una vulnerabilidad crítica en ShowDoc —una plataforma de gestión y colaboración documental muy utilizada en China— ha vuelto a cobrar relevancia porque ahora se está explotando activamente en el mundo real. Identificada como CVE-2025-0520 (también reportada como CNVD-2020-26585), esta falla tiene una puntuación CVSS de 9.4/10, lo que la clasifica como de riesgo muy alto y apta para permitir intrusiones graves cuando no se corrige.
El problema radica en un caso de carga de archivos sin restricciones: la aplicación no valida correctamente las extensiones y permite subir archivos PHP maliciosos. Con ese vector, un atacante puede depositar un web shell en el servidor y ejecutar código a distancia, obteniendo control sobre la instancia vulnerable. Investigaciones previas y avisos técnicos ya habían señalado que las versiones anteriores a la 2.8.7 eran susceptibles a esta técnica, y que el parche correspondiente se introdujo en la versión 2.8.7 publicada en octubre de 2020.
En octubre de 2020 ShowDoc lanzó la corrección, y desde entonces el proyecto ha seguido evolucionando hasta las ramas actuales (la versión estable al momento de escribir es la 3.8.1). Aun así, según el seguimiento compartido por Caitlin Condon, vicepresidenta de investigación de seguridad en VulnCheck, la vulnerabilidad ha pasado a ser aprovechada en ataques en el terreno: se observó un exploit que deja un web shell en un honeypot ubicado en Estados Unidos que ejecutaba una versión vulnerable de ShowDoc. Esto confirma que, aunque el fallo tenga ya años, los atacantes siguen buscando y explotando instancias desactualizadas.
Los datos públicos señalan que hay más de dos mil instancias de ShowDoc accesibles desde Internet, con una concentración importante en China. Ese panorama explica por qué una vulnerabilidad conocida y parcheada puede seguir siendo peligrosa: muchos despliegues no se actualizan o permanecen expuestos, lo que ofrece objetivos fáciles para actores maliciosos que aprovechan esos llamados fallos “N-day” —vulnerabilidades conocidas para las que existe parche, pero que siguen en uso en instalaciones sin actualizar—.
Para quienes administran ShowDoc la recomendación es clara: actualizar cuanto antes a la versión más reciente. Actualizar no solo aplica el arreglo para la carga de archivos, sino que reduce la superficie de ataque frente a otras fallas técnicas descubiertas con el tiempo. Además de actualizar el software, es prudente revisar registros y contenidos en directorios de subida en busca de archivos PHP o web shells, segregar las instancias expuestas a Internet y aplicar controles de perímetro como firewalls de aplicaciones web (WAF) y reglas de bloqueo. También conviene auditar usuarios y permisos, y considerar copias de seguridad seguras y listas de respuesta ante incidentes en caso de detectarse intrusiones.
Si quieres ver la referencia técnica de por qué este tipo de carga de archivos es peligrosa, OWASP mantiene documentación muy útil sobre riesgos asociados a cargas sin control: OWASP — Unrestricted File Upload. Para información sobre el proyecto ShowDoc y sus lanzamientos puedes consultar el repositorio público en GitHub: star7th/showdoc en GitHub. Y para el seguimiento del caso y análisis de explotación activa te puede interesar la página de VulnCheck, desde donde se han compartido detalles del incidente: VulnCheck. Finalmente, si buscas la ficha oficial del CVE, el portal de NVD suele centralizar estas entradas: NVD — National Vulnerability Database.
Este episodio es una buena recordatoria de que el simple hecho de que exista un parche no impide que una vulnerabilidad siga siendo peligrosa: la gestión de actualizaciones, la visibilidad sobre las instancias expuestas y las prácticas básicas de endurecimiento operacional son tan importantes como el parche en sí. Si administras ShowDoc o estás a cargo de un entorno que lo usa, no dejes para mañana una actualización que puede evitar una intrusión hoy.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...