SchwachstellenHackerangriffeMalware

ShowDoc-Verwundbarkeit CVE-2025-0520: Kritische Remote-Code-Execution wird aktiv ausgenutzt

ShowDoc-Verwundbarkeit CVE-2025-0520: Kritische Remote-Code-Execution wird aktiv ausgenutzt
Zusammenfassung

Eine kritische Sicherheitslücke in ShowDoc, einem in China verbreiteten Dokumentenverwaltungs- und Kollaborationsdienst, wird derzeit aktiv von Angreifern ausgenutzt. Die Schwachstelle CVE-2025-0520 mit einem CVSS-Wert von 9,4 ermöglicht es unbefugten Nutzern, beliebige PHP-Dateien hochzuladen und damit Code auf betroffenen Servern auszuführen. Das Problem entsteht durch unzureichende Validierung von Dateitypen beim Upload, was zur Installation von Web-Shells und letztendlich zur vollständigen Übernahme des Servers führen kann. Obwohl ShowDoc bereits seit Oktober 2020 Version 2.8.7 mit Sicherheitspatches anbietet, werden weltweit über 2.000 anfällige Instanzen betrieben – überwiegend in China. Sicherheitsforscher berichten nun von aktiven Angriffen auf ungepatcht System. Für deutsche Unternehmen und Behörden, die ShowDoc einsetzen, stellt dies eine unmittelbare Bedrohung dar. Besonders kritisch ist die fehlende Authentifizierung – Angreifer benötigen keinen gültigen Zugang. Das Ausnutzen von Jahre alten Sicherheitslücken wird zunehmend zur Norm, weshalb ein sofortiges Update auf die aktuelle Version 3.8.1 dringend empfohlen wird.

Die kritische Sicherheitslücke CVE-2025-0520, offiziell auch als CNVD-2020-26585 bekannt, betrifft ShowDoc in Versionen vor 2.8.7. Das Kernproblem liegt in einer unzureichenden Validierung von Dateiendungen beim Hochladen von Dateien. Angreifer können diese Schwachstelle ausnutzen, um ungeprüft PHP-Webshells auf verwundbare Server zu laden und anschließend beliebigen Code auszuführen. Die Lücke benötigt keinerlei Authentifizierung – jeder Internet-Nutzer kann sie theoretisch angehen.

Microsoft und andere Sicherheitsanbieter klassifizieren die Schwachstelle mit dem maximalen CVSS-Score von 9,4 als kritisch. Vulhub bestätigte bereits 2020, dass ShowDoc-Installationen vor Version 2.8.7 für solche Angriffe anfällig sind. Die Patch wurde damals im Oktober 2020 bereitgestellt, doch viele Administratoren führten das Update offenbar nicht durch – ein klassisches Problem in der IT-Sicherheitspraxis.

Caitlin Condon, Vice President of Security Research bei VulnCheck, meldete nun die erste dokumentierte aktive Ausnutzung im freien Netz. Ein Angreifer infiltrierte einen US-amerikanischen Honeypot (eine Falle für Cyberkriminelle), auf dem eine verwundbare ShowDoc-Version lief, und platzierte dort eine Webshell. Dies ist das erste Mal, dass diese Jahre alte Lücke tatsächlich zur Kompromittierung von Systemen führte.

Die Entdeckung offenbart ein wachsendes Problem: Cyberkriminelle beschränken sich längst nicht mehr auf neu entdeckte Zero-Day-Exploits oder hochfrequente Schwachstellen. Stattdessen richten sie ihr Augenmerk zunehmend auf N-Day-Vulnerabilities – bekannte, aber oft ungepatzte Sicherheitslücken. Dies ist strategisch sinnvoll: Mit höherer Wahrscheinlichkeit finden sie anfällige Systeme, da viele Administratoren Jahre alte Updates übersehen oder aus kompatibilitätsgründen nicht einspielen.

ShowDoc ist hauptsächlich in China verbreitet. VulnCheck dokumentierte über 2.000 online erreichbare Instanzen, die meisten davon in Asien. Die aktuelle Version 3.8.1 behebt die Schwachstelle. Nutzer werden dringend aufgefordert, ihre Installationen sofort zu aktualisieren. Unternehmen sollten überprüfen, ob ShowDoc in ihrer Infrastruktur eingesetzt wird, und diese Systeme priorisiert patchen.

Ähnliche Artikel