Wprowadzenie do problemu / definicja
CVE-2025-0520 to krytyczna podatność w platformie ShowDoc, wykorzystywanej do zarządzania dokumentacją i współpracy zespołowej. Błąd wynika z nieprawidłowej walidacji przesyłanych plików i umożliwia nieuwierzytelnionemu atakującemu wgranie złośliwego pliku PHP, a następnie jego uruchomienie na serwerze.
W praktyce oznacza to możliwość zdalnego wykonania kodu, czyli jednego z najpoważniejszych scenariuszy bezpieczeństwa dla aplikacji webowych. Problem dotyczy starszych wersji ShowDoc i według najnowszych obserwacji jest aktywnie wykorzystywany przeciwko publicznie dostępnym, niezałatanym instancjom.
W skrócie
- Podatność dotyczy ShowDoc w wersjach wcześniejszych niż 2.8.7.
- Mechanizm ataku nie wymaga uwierzytelnienia.
- Luka pozwala na przesłanie i wykonanie pliku PHP na serwerze.
- Ocena CVSS 9.4 wskazuje na bardzo wysokie ryzyko.
- W kwietniu 2026 roku odnotowano aktywną eksploatację przeciwko niezałatanym systemom.
Kontekst / historia
ShowDoc jest rozwiązaniem szczególnie popularnym w środowiskach chińskojęzycznych, choć pojedyncze wdrożenia są widoczne także poza tym rynkiem. Luka znana jako CVE-2025-0520, a także pod identyfikatorem CNVD-2020-26585, została usunięta już w wersji 2.8.7 opublikowanej w październiku 2020 roku.
Mimo dostępnej poprawki podatność wróciła do centrum uwagi po wykryciu rzeczywistych prób wykorzystania w środowisku honeypot. To klasyczny przykład zagrożenia typu N-day, w którym atakujący wykorzystują od dawna znane błędy przez cały czas obecne w nieaktualizowanych instalacjach.
Analiza techniczna
Źródłem problemu jest funkcja uploadu plików, która nie wymusza skutecznej kontroli typu oraz rozszerzenia przesyłanych danych. W efekcie napastnik może przesłać plik wykonywalny po stronie serwera, najczęściej skrypt PHP, i zapisać go w lokalizacji dostępnej z poziomu aplikacji.
Scenariusz ataku jest prosty i może zostać łatwo zautomatyzowany. Atakujący najpierw identyfikuje podatną instancję ShowDoc dostępną z internetu, następnie przesyła spreparowany plik bez logowania, po czym wywołuje go przez HTTP. o ile serwer interpretuje przesłany kod, dochodzi do zdalnego wykonania poleceń i instalacji web shella lub innego ładunku.
Technicznie problem odpowiada klasie CWE-434, czyli możliwości przesłania niebezpiecznego typu pliku. Jednak skutki wykraczają poza sam zapis pliku, ponieważ aplikacja umożliwia jego wykonanie, co prowadzi bezpośrednio do przejęcia kontroli nad usługą.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem wykorzystania CVE-2025-0520 jest przejęcie aplikacji ShowDoc i uruchamianie dowolnego kodu z uprawnieniami procesu serwera WWW. W zależności od konfiguracji hosta i środowiska może to otworzyć drogę do dalszej kompromitacji infrastruktury.
- utrzymanie trwałego dostępu dzięki web shella,
- kradzież dokumentacji, sekretów i danych konfiguracyjnych,
- pozyskanie poświadczeń zapisanych lokalnie,
- ruch lateralny do innych systemów,
- instalacja malware lub narzędzi post-eksploatacyjnych,
- modyfikacja treści dokumentacji i sabotaż operacyjny.
Ryzyko jest szczególnie wysokie tam, gdzie ShowDoc przechowuje dokumentację techniczną, opisy API, dane integracyjne, tokeny testowe lub informacje o architekturze. Takie zasoby mogą znacząco ułatwić napastnikowi eskalację uprawnień i dalsze poruszanie się po środowisku.
Rekomendacje
Organizacje korzystające z ShowDoc powinny potraktować ten problem priorytetowo. Podstawowym krokiem jest natychmiastowa aktualizacja do wersji co najmniej 2.8.7, a najlepiej do najnowszego dostępnego wydania.
Równie ważna jest weryfikacja, czy system nie został już naruszony. Należy przeanalizować katalogi uploadów, sprawdzić obecność nietypowych plików PHP i PHTML, przejrzeć logi HTTP pod kątem wywołań przesłanych plików oraz zbadać procesy potomne serwera WWW i nietypowe połączenia wychodzące.
- ograniczyć dostęp do panelu przez VPN lub kontrolę dostępu,
- zablokować wykonywanie skryptów w katalogach uploadu,
- separować aplikację od krytycznych segmentów sieci,
- uruchamiać usługę z minimalnymi uprawnieniami,
- wdrożyć detekcję prób przesyłania niebezpiecznych plików i anomalii w żądaniach multipart/form-data.
Zespoły bezpieczeństwa powinny również poszukiwać wskaźników kompromitacji związanych z web shellami oraz objąć hosty obsługujące aplikacje webowe dodatkowymi regułami monitoringu i telemetrii EDR.
Podsumowanie
CVE-2025-0520 pokazuje, iż choćby dawno załatane błędy mogą stanowić realne zagrożenie, jeżeli organizacje nie utrzymują pełnej widoczności swoich aplikacji i nie prowadzą konsekwentnego zarządzania poprawkami. W tym przypadku połączenie braku uwierzytelnienia, prostego wektora ataku i ekspozycji usług do internetu tworzy bardzo niebezpieczny scenariusz.
Dla administratorów najważniejsze działania to szybka aktualizacja ShowDoc, przegląd śladów potencjalnej kompromitacji oraz ograniczenie powierzchni ataku. Aktywna eksploatacja w 2026 roku potwierdza, iż stare podatności przez cały czas pozostają skutecznym narzędziem w rękach napastników.
Źródła
- https://thehackernews.com/2026/04/showdoc-rce-flaw-cve-2025-0520-actively.html
- https://github.com/star7th/showdoc/releases/tag/v2.8.7
- https://github.com/star7th/showdoc/releases
- https://www.wiz.io/vulnerability-database/cve/cve-2025-0520
- https://www.scworld.com/brief/showdoc-vulnerability-actively-exploited-threat-actors-target-n-day-flaws