Uma vulnerabilidade crítica no ShowDoc - uma plataforma de gestão e colaboração documental muito utilizada na China - tornou-se relevante porque agora está sendo explorada ativamente no mundo real. Identificada como CVE-2025-0520 (também relatado como CNVD-2020-26585), esta falha tem uma pontuação CVSS de 9.4/10, o que a classifica como de risco muito alto e apta para permitir intrusões graves quando não se corrige.
O problema é um caso de carregamento de arquivos sem restrições: a aplicação não valida corretamente as extensões e permite que você aumente arquivos PHP maliciosos. Com esse vetor, um atacante pode depositar um web shell no servidor e executar código à distância, obtendo controle sobre a instância vulnerável. Pesquisas prévias e avisos técnicos já haviam apontado que as versões anteriores à 2.8.7 eram suscetíveis a esta técnica, e que o adesivo correspondente foi introduzido na versão 2.8.7 publicada em outubro de 2020.
Em outubro de 2020 ShowDoc lançou a correção, e desde então o projeto continuou evoluindo para os ramos atuais (a versão estável ao momento de escrever é a 3.8.1). Ainda assim, segundo o seguimento compartilhado por Caitlin Condon, vice-presidente da pesquisa de segurança em VulnCheck, a vulnerabilidade passou a ser aproveitada em ataques no terreno: observou-se um exploit que deixa um web shell em um honeypot localizado nos Estados Unidos que executava uma versão vulnerável do ShowDoc. Isso confirma que, embora a falha tenha já anos, os atacantes continuam procurando e explorando instâncias desatualizadas.
Os dados públicos apontam que há mais de dois mil instâncias do ShowDoc acessíveis da Internet, com uma concentração importante na China. Esse panorama explica por que uma vulnerabilidade conhecida e patchada pode continuar sendo perigosa: muitos desdobramentos não se atualizam ou permanecem expostos, o que oferece objetivos fáceis para atores maliciosos que aproveitam esses chamados falhas “N-day” –vulnerabilidades conhecidas para as quais existe adesivo, mas que continuam em uso em instalações sem atualização.
Para quem administra o ShowDoc a recomendação é clara: atualizar quanto antes à versão mais recente. Actualizar não só aplica o arranjo para a carga de arquivos, mas reduz a superfície de ataque contra outras falhas técnicas descobertas com o tempo. Além de atualizar o software, é prudente rever registros e conteúdos em diretórios de subida em busca de arquivos PHP ou web shells, segregar as instâncias expostas à Internet e aplicar controles de perímetro como firewalls de aplicativos web (WAF) e regras de bloqueio. Também é conveniente auditar utilizadores e permissões e considerar cópias de segurança seguras e listas de resposta a incidentes em caso de intrusões.
Se você quiser ver a referência técnica de por que esse tipo de carga de arquivos é perigosa, OWASP mantém documentação muito útil sobre riscos associados a cargas sem controle: OWASP — Unrestricted File Upload. Para informações sobre o projeto ShowDoc e seus lançamentos você pode consultar o repositório público no GitHub: star7th/showdoc no GitHub. E para o seguimento do caso e análise de exploração ativa você pode interessar a página de VulnCheck, desde onde foram compartilhados detalhes do incidente: VulnCheck. Finalmente, se você procura a ficha oficial do CVE, o portal de NVD costuma centralizar essas entradas: NVD — National Vulnerability Database.
Este episódio é uma boa recordatória de que o simples fato de existir um adesivo não impede que uma vulnerabilidade continue sendo perigosa: a gestão de atualizações, a visibilidade sobre as instâncias expostas e as práticas básicas de endurecimento operacional são tão importantes quanto o adesivo em si. Se você administrar o ShowDoc ou estiver a cargo de um ambiente que o usa, não deixe para amanhã uma atualização que pode evitar uma intrusão hoje.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...