ShowDoc 重大漏洞遭駭客利用

漏洞詳情與攻擊情況

資安公司 VulnCheck 提出警告，指出中國技術文件協作平臺 ShowDoc 已知漏洞 CVE-2025-0520 出現遭到利用的活動。這是首度發現該漏洞被用於實際攻擊的情況。

根據 VulnCheck 透過蜜罐陷阱觀察到的數據，駭客試圖部署 Webshell，顯示該漏洞正被積極利用。

漏洞技術分析

此漏洞編號為 CVE-2025-0520（亦稱為 CNVD-2020-26585），CVSS 評分高達 9.4 分，屬於嚴重等級。

• 漏洞類型：遠端程式碼執行 (RCE) 漏洞，源於文件擴展名未做正確驗證導致的無限制文件上傳。
• 攻擊方式：攻擊者可繞過驗證上傳惡意 PHP 腳本，進而取得伺服器控制權。
• 受影響版本：漏洞存在於 2.8.7 版本之前的 ShowDoc 系統中。

官方回應與建議

ShowDoc 官方已於 2.8.7 版本進行修補。建議使用者立即更新系統以消除風險，並加強對文件上傳功能的驗證機制。