Une vulnérabilité critique dans ShowDoc - une plateforme de gestion et de collaboration documentaire très utilisée en Chine - est devenue plus pertinente parce qu'elle est maintenant activement exploitée dans le monde réel. Identifiée comme CVE-2025-0520 (également signalé comme CDVD-2020-26585), cet échec a un score CVSS de 9,4 / 10, qui le classe comme très haut risque et approprié pour permettre des intrusions graves lorsqu'il n'est pas corrigé.
Le problème se situe dans un cas de chargement de fichiers illimité: l'application ne valorise pas correctement les extensions et vous permet de télécharger des fichiers PHP malveillants. Avec ce vecteur, un attaquant peut placer un shell web sur le serveur et exécuter le code à distance, obtenant le contrôle de l'instance vulnérable. Des enquêtes antérieures et des avis techniques avaient déjà indiqué que les versions pré-2.8.7 étaient sensibles à cette technique, et que le patch correspondant avait été introduit dans la version 2.8.7 publiée en octobre 2020.
En octobre 2020 ShowDoc a lancé la correction, et depuis lors le projet a continué à évoluer vers les branches actuelles (la version stable au moment de l'écriture est 3.8.1). Pourtant, selon le suivi partagé par Caitlin Condon, vice-président de la recherche sur la sécurité chez VulnCheck, la vulnérabilité a été mise à profit dans les attaques sur le terrain : une explosion a été observée qui a laissé un shell web dans un pot d'abeille américain qui a exécuté une version vulnérable de ShowDoc. Cela confirme que même si l'échec est ancien, les attaquants continuent à rechercher et exploiter des instances dépassées.
Les données publiques indiquent qu'il y a plus de 2 000 instances ShowDoc accessibles depuis Internet, avec une concentration importante en Chine. Cette image explique pourquoi une vulnérabilité connue et corrigée peut rester dangereuse: de nombreux déploiements ne sont pas mis à jour ou restent exposés, ce qui offre des cibles faciles pour les acteurs malveillants qui profitent de ces défaillances dites «N-day» - vulnérabilités connues pour lesquelles le patch existe, mais qui sont encore en usage dans des installations non mises à jour.
Pour ceux qui administrent ShowDoc, la recommandation est claire : mettre à jour la dernière version dès que possible. La mise à jour non seulement applique l'arrangement pour le chargement de fichiers, mais réduit la surface d'attaque contre d'autres défaillances techniques découvertes au fil du temps. En plus de mettre à jour le logiciel, il est prudent d'examiner les enregistrements et le contenu des répertoires de téléchargement à la recherche de fichiers PHP ou de shells web, de séparer les instances exposées à Internet et d'appliquer des contrôles de périmètre tels que les pare-feu d'application web (WAF) et les règles de verrouillage. Il convient également de vérifier les utilisateurs et les autorisations, et d'envisager des listes de sauvegarde et d'intervention en cas d'intrusion.
Si vous voulez voir la référence technique de la raison pour laquelle ce type de chargement de fichiers est dangereux, OWASP conserve une documentation très utile sur les risques associés aux charges non vérifiées: OWASP - Téléchargement de fichiers sans restriction. Pour plus d'informations sur le projet ShowDoc et ses lancements, voir le dépôt public de GitHub: star7th / showdoc dans GitHub. Et pour la surveillance des cas et l'analyse active de l'exploitation, vous pouvez être intéressé par la page VulnCheck, à partir de laquelle les détails de l'incident ont été partagés: VulnCheck. Enfin, si vous recherchez l'onglet officiel CVE, le portail NVD centralise généralement ces entrées : NVD - Base de données nationale sur la vulnérabilité.
Cet épisode est un bon rappel que le simple fait qu'il y ait un patch n'empêche pas une vulnérabilité de rester dangereuse : la gestion des mises à jour, la visibilité des instances exposées et les pratiques de base du durcissement opérationnel sont aussi importantes que le patch lui-même. Si vous administrez ShowDoc ou êtes responsable d'un environnement qui l'utilise, ne laissez pas de mise à jour pour demain qui peut éviter une intrusion aujourd'hui.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...