一個五年前就已修復的安全漏洞如今再次成為駭客攻擊的目標。該漏洞存在於 ShowDoc 中，ShowDoc 是一款被 IT 團隊用於管理文件和協作的工具。此漏洞編號為CVE-2025-0520 ， CVSS 評分高達 9.4 分（滿分為 10 分），是一個不受限制的檔案上傳漏洞。當系統未能檢查使用者傳送的文件類型時，就會發生此漏洞。如果被利用，駭客無需用戶名或密碼即可將自己的 PHP 檔案上傳到伺服器。

供您參考，PHP 檔案通常包含 web shell，這是一種允許未經授權的個人遠端在電腦上運行命令的程式碼，這種技術稱為遠端程式碼執行(RCE)，它允許威脅行為者完全控制系統。

Team Cymru 的架構與平台主管兼現場首席資訊安全長 Will Baxter 在 Hackread.com 上分享的評論中解釋了為何這些攻擊如此危險。 Baxter 指出，這些活動顯示攻擊者如何利用舊漏洞作為隱藏的入口點。他強調，即使是用戶數量很少的軟體，一旦被駭客攻破，也可能成為他們發動進一步攻擊的跳板。

「這次事件凸顯了攻擊者如何持續利用長尾漏洞作為隱蔽入口，入侵暴露的系統。即使是安裝量較小的軟體，一旦被攻破，也能成為部署、橫向移動或執行命令與控制等活動的重要基礎設施。挑戰在於，這些資產通常不在組織的直接監控範圍內，因此防御者需要外部情報來了解其基礎設施在開放互聯網上的呈現方式和行為。」

資料來源：https://hackread.com/showdoc-vulnerability-patch-2020-server-takeover/