ShowDoc: Kritische RCE-Lücke CVE-2025-0520 wird aktiv ausgenutzt
Automatisiert erstellt von CyberDeutsch
Zusammenfassung
Eine kritische Schwachstelle in der Dokumentenverwaltung ShowDoc wird laut Sicherheitsforschern erstmals aktiv im Internet ausgenutzt. ShowDoc ist ein Dienst zur Dokumentenverwaltung und Zusammenarbeit, der vor allem in China verbreitet ist. Die Lücke wird unter der Kennung CVE-2025-0520 geführt, alternativ als CNVD-2020-26585, und erreicht einen CVSS-Wert von 9,4 von 10,0. Es handelt sich um eine unbeschränkte Datei-Upload-Schwachstelle: Wegen einer fehlerhaften Prüfung der Dateiendung können Angreifer beliebige PHP-Dateien hochladen und damit Schadcode aus der Ferne ausführen. Nach einem Hinweis von Vulhub lässt sich in ShowDoc-Versionen vor 2.8.7 ohne Authentifizierung eine Datei hochladen, sodass ein Angreifer eine Web-Shell platzieren und beliebigen Code auf dem Server ausführen kann. Behoben wurde das Problem bereits mit ShowDoc 2.8.7, das im Oktober 2020 erschien. Die aktuelle Version ist 3.8.1. Brisant ist die Meldung, weil die Schwachstelle nun erstmals tatsächlich für Angriffe genutzt wird — obwohl seit Jahren ein Patch bereitsteht.
Auf die laufende Ausnutzung weist Caitlin Condon hin, Vice President of Security Research bei VulnCheck. Demnach wird CVE-2025-0520 zum ersten Mal aktiv für Angriffe verwendet.
Beobachtet wurde der Angriff an einem in den USA betriebenen Honeypot, auf dem eine verwundbare ShowDoc-Version lief. Dort nutzten die Angreifer die Lücke aus, um eine Web-Shell abzulegen. Daten des Unternehmens zufolge sind mehr als 2.000 ShowDoc-Instanzen online erreichbar, der Großteil davon in China.
Technisch beruht die Schwachstelle auf einer unzureichenden Validierung der Dateiendung beim Upload. Weil die Anwendung nicht korrekt prüft, welche Dateitypen zulässig sind, lassen sich PHP-Dateien einschleusen und ausführen — ein klassischer Weg zur Remotecodeausführung. Der Upload ist laut Vulhub weder beschränkt noch authentifiziert.
Der Fall reiht sich in eine Entwicklung ein, bei der Angreifer zunehmend bekannte, aber ungepatchte Schwachstellen (N-Day-Lücken) ausnutzen — unabhängig davon, wie groß die Verbreitung der betroffenen Software ist. Betreibern von ShowDoc wird geraten, auf die neueste Version zu aktualisieren.