在中國廣受歡迎的文件管理和協作服務ShowDoc的一個嚴重安全漏洞已被攻擊者積極利用。所討論的漏洞是CVE-2025-0520（又稱 CNVD-2020-26585），其 CVSS 評分為 9.4 分（滿分 10 分）。

它涉及一起不受限制的文件上傳案例，該案例源於對文件擴展名的驗證不當，使得攻擊者能夠上傳任意 PHP 文件並實現遠端程式碼執行。Vulhub 發布的一份安全公告稱：“在 ShowDoc 2.8.7 之前的版本中，存在不受限制且未經身份驗證的文件上傳問題，攻擊者能夠上傳 web shell 並在伺服器上執行任意代碼。”

該漏洞已在 ShowDoc版本 2.8.7中修復，該版本於 2020 年 10 月發布。軟體的目前版本為3.8.1。根據VulnCheck 安全研究副總裁 Caitlin Condon 分享的最新細節，CVE-2025-0520 已首次遭到積極利用。

已發現的攻擊手段是利用該漏洞向位於美國的蜜罐投放 Web Shell，該蜜罐運行著存在漏洞的 ShowDoc 版本。該公司分享的數據顯示，目前有超過 2000 個 ShowDoc 實例在線，其中大部分位於中國。這一事態發展再次表明，威脅行為者正日益頻繁地利用N天安全漏洞，而不再考慮其安裝基數。建議使用ShowDoc的使用者更新至最新版本以獲得最佳防護。

資料來源：https://thehackernews.com/2026/04/showdoc-rce-flaw-cve-2025-0520-actively.html