ShowDoc RCE 漏洞 CVE-2025-0520 正在被积极利用

执行摘要

ShowDoc 文档协作平台中存在一个严重的远程代码执行（RCE）漏洞，跟踪编号为 CVE-2025-0520，目前正在野外被积极利用。这个漏洞是一个无限制的文件上传问题，CVSS 评分为 9.4，允许未经身份验证的攻击者上传恶意 PHP 文件并完全控制受影响的服务器。ShowDoc 在中国被广泛使用，如果不打补丁，将使大量面向互联网的系统立即面临风险。

技术分析

这个漏洞，也被称为 CNVD-2020-26585，存在于 ShowDoc 的文件上传功能中。据 The Hacker News 报道，这个漏洞源于 对用户提供的文件的验证不当，特别是在 /index.php?s=/home/page/uploadImg 端点中。这允许攻击者绕过预期的限制并上传任意文件，包括 webshells，到服务器。

技术根本原因是过滤机制不足，未能验证上传项目的文件扩展名或内容。攻击者可以制作包含恶意 PHP 文件的 HTTP POST 请求，服务器接受并存储在可通过网络访问的目录中。一旦上传，攻击者可以直接通过导航到其位置来执行文件，导致远程代码执行，具有 Web 服务器进程的权限。这为服务器被破坏、数据盗窃和进一步网络渗透提供了直接途径。

入侵指标

目前尚未识别出任何入侵指标。

战术、技术与程序

根据 CVE-2025-0520 的性质，观察到的利用可能遵循一致的模式。攻击者正在扫描暴露的 ShowDoc 实例，特别是修复之前的版本。主要 战术 是初始访问（TA0001）。关键 技术 包括：

• T1190: 利用面向公众的应用程序：针对易受攻击的 /uploadImg 端点。
• T1505.003: 服务器软件组件 – Web Shell：上传 PHP 文件以在被破坏的服务器上建立持久的后门。

这种利用是直接的，不需要身份验证，适合自动化、大规模的攻击活动。

威胁行为者背景

源材料没有将这种利用活动归因于特定的命名威胁行为者或团体。漏洞细节和概念验证利用代码的广泛可用性使其可以被广泛的恶意行为者访问，从机会主义的脚本小子到进行自动化扫描以寻找易受攻击基础设施的更高级团体。主要动机似乎是初始服务器被破坏，这可以作为后续活动如数据泄露、勒索软件部署或对内部网络发起攻击的立足点。

缓解措施与建议

最关键的行动是立即打补丁。管理员必须将 ShowDoc 升级到解决 CVE-2025-0520 的版本。如果无法立即打补丁，应紧急实施以下补偿控制：

1. 网络分割：限制对 ShowDoc 管理界面和实例的网络访问，确保它们不直接暴露给互联网，除非绝对必要。
2. Web 应用程序防火墙（WAF）：部署一个 WAF，配置规则以阻止尝试上传具有 .php 扩展名或其他可执行内容的文件的 HTTP POST 请求到易受攻击的端点。
3. 文件完整性监控：在 Web 目录上实施监控，以创建未经授权的文件，特别是具有可执行扩展名的文件，如 .php、.jsp 或 .asp 在上传目录中。
4. 事件响应审查：运行 ShowDoc 的组织应审查服务器日志，以查找到 /index.php?s=/home/page/uploadImg 的可疑 POST 请求，并在可通过网络访问的目录中的任何上传文件上进行取证分析。