Auf die laufende Ausnutzung weist Caitlin Condon hin, Vice President of Security Research bei VulnCheck. Demnach wird CVE-2025-0520 zum ersten Mal aktiv für Angriffe verwendet.

Beobachtet wurde der Angriff an einem in den USA betriebenen Honeypot, auf dem eine verwundbare ShowDoc-Version lief. Dort nutzten die Angreifer die Lücke aus, um eine Web-Shell abzulegen. Daten des Unternehmens zufolge sind mehr als 2.000 ShowDoc-Instanzen online erreichbar, der Großteil davon in China.

Technisch beruht die Schwachstelle auf einer unzureichenden Validierung der Dateiendung beim Upload. Weil die Anwendung nicht korrekt prüft, welche Dateitypen zulässig sind, lassen sich PHP-Dateien einschleusen und ausführen — ein klassischer Weg zur Remotecodeausführung. Der Upload ist laut Vulhub weder beschränkt noch authentifiziert.

Der Fall reiht sich in eine Entwicklung ein, bei der Angreifer zunehmend bekannte, aber ungepatchte Schwachstellen (N-Day-Lücken) ausnutzen — unabhängig davon, wie groß die Verbreitung der betroffenen Software ist. Betreibern von ShowDoc wird geraten, auf die neueste Version zu aktualisieren.