ثغرة CVE-2025-0520: ثغرة تنفيذ التعليمات البرمجية عن بعد في ShowDoc مستغلة بنشاط

تم اكتشاف ثغرة حرجة تسمح بتنفيذ تعليمات برمجية عن بعد في ShowDoc، وتم تتبعها تحت المعرف CVE-2025-0520 ودرجة CVSS 9.4، وهي حالياً قيد الاستغلال النشط. تؤثر هذه الثغرة على إصدارات ShowDoc التي تسبق الإصدار 2.8.7 وتسمح للمهاجمين ذوي الوصول منخفض المستوى بتحميل ملفات PHP تعسفية وتنفيذ تعليمات برمجية على الخادم. أكدت VulnCheck الاستغلال النشط هذا الأسبوع، مع تحديد أكثر من 2000 حالة ضعيفة عبر الإنترنت.

ما هو الخلل الأمني

CVE-2025-0520 هي ثغرة رفع ملفات غير مقيدة في ShowDoc، أداة توثيق وتعاون مفتوحة المصدر شائعة بشكل أساسي في الصين. توجد الثغرة في نقطة نهاية تحميل الصور الخاصة بـ ShowDoc وتنبع من خطأ في اسم خاصية في إطار عمل ThinkPHP - فقد قام المطور بتعيين امتدادات الملفات المسموح بها لخاصية تسمى السماح بالامتدادات, ولكن الإطار يتوقع ملحقات. لأن الإطار يتجاهل خاصية غير معروفة بصمت، فإنه يسمح بجميع امتدادات الملفات افتراضيًا، بما في ذلك .php.

يمكن للمهاجم ذي الامتيازات المنخفضة للمستخدم استغلال نقطة النهاية في /index.php?s=/home/page/uploadImg لتحميل قشرة ويب PHP إلى دليل يمكن الوصول إليه بشكل عام. من هناك، يتم تنفيذ تعليمات برمجية اعتباطية بصلاحيات عملية خادم الويب - مما يمنح المهاجم إمكانية الوصول للقراءة إلى ملفات التكوين وبيانات اعتماد قاعدة البيانات والقدرة على الانتقال إلى أجزاء شبكة مجاورة.

تم إصلاح الثغرة الأمنية في إصدار ShowDoc 2.8.7، والذي تم إصداره في أكتوبر 2020. الإصدار الحالي هو 3.8.1. رغم هذا،, أكدت تقنية الكشف عن "كناري" الخاصة بـ VulnCheck للمرة الأولى الاستغلال هذا الأسبوع., ، مع الانكشاف الملاحظ الذي يسقط قشرة ويب على فخ هونيست مقرها في الولايات المتحدة يعمل بإصدار ضعيف.

لماذا هذا مهم إلى جانب قاعدة مستخدمي ShowDoc

يحتوي ShowDoc على أكثر من 2000 مثيل مكشوف على الإنترنت، ويقع غالبها في الصين. الاستغلال النشط هو مثال نموذجي على اتجاه فولن تشيك وذا هاكر نيوز لاحظ كلاهما: جهات التهديد تستهدف بشكل متزايد الثغرات المعروفة (N-day) - العيوب المعروفة والمُصلحة - عبر أي قاعدة تثبيت موجودة، بغض النظر عن مدى تخصص البرنامج.

الخطر الأوسع ليس ShowDoc على وجه التحديد. إنه النمط. غالبًا ما يتم نشر الأدوات التي ينشرها المطورون - منصات التوثيق، والويكي الداخلية، ومستودعات التعليمات البرمجية، وبوابات واجهات برمجة التطبيقات - خارج عمليات إدارة الأصول القياسية لتكنولوجيا المعلومات. يتم تحديثها بشكل غير متكرر، وغالبًا ما تعمل على خوادم تواجه الإنترنت، وتحتوي بانتظام على محتوى تقني حساس: مفاتيح واجهات برمجة التطبيقات، وسلاسل اتصال قواعد البيانات، ورسوم بيانية للشبكة الداخلية، وتكوينات النظام التي توفر للمهاجمين خرائط طريق مفصلة للحركة الجانبية.

مثيل ShowDoc الضعيف ليس مجرد خادم توثيق مخترق. إنه نقطة انطلاق محتملة إلى أي بنية تحتية موثقة عليه.

إجراءات فورية لفرق الأمن

ال إصدار GitHub و إدخال NVD كلاهما يؤكدان مسار الإصلاح. لأي مؤسسة تقوم بتشغيل ShowDoc:

  • حدث إلى الإصدار 3.8.1 فورًا 2.8.7 تعالج ثغرة CVE المحددة هذه، ولكن 3.8.1 هو الإصدار الحالي
  • تدقيق سجلات الوصول الأخيرة على أي مثيل ShowDoc لطلبات POST إلى /index.php?s=/home/page/uploadImg والتحقق من مجلدات التحميل بحثًا عن أي شيء غير متوقع .php ملفات
  • مراجعة المحتوى المخزن على خوادم التوثيق — يجب ألا توجد بيانات الاعتماد ومفاتيح الواجهة البرمجية وتفاصيل الشبكة الداخلية على منصات معرضة للإنترنت
  • تقييد الوصول — إذا لم يكن ShowDoc بحاجة إلى أن يكون مرئيًا عبر الإنترنت ، فقم بوضعه خلف شبكة افتراضية خاصة (VPN) أو جدار حماية على الفور
  • تفقد محيطك الخارجي لأي مثيلات ShowDoc قد تكون قد تم نشرها دون علم فريق الأمان - هذا تعرض كلاسيكي لتقنية الظل (Shadow IT)

بالنسبة لأي مثيل ShowDoc تم تعريضه للإنترنت أثناء تشغيل إصدار ضعيف، قم بمعاملته على أنه مخترق محتمل وقم بإجراء مراجعة كاملة قبل إعادته إلى الخدمة.

مشكلة تكنولوجيا المعلومات الظل التي يوضحها هذا

إن CVE-2025-0520 ليست ثغرة أمنية غير عادية. إنها تذكير غير عادي بمدى البنية التحتية التي ينشرها المطورون خارج نطاق رؤية فريق الأمان.

منصات التوثيق، والأدوات الداخلية، وبيئات التطوير تمثل فئة متنامية من الأصول المعرضة للإنترنت والتي تتجاهلها برامج إدارة الثغرات التقليدية - ليس لأن الأدوات غير مهمة، ولكن لأنها لم يتم تسجيلها أبدًا في جرد الأصول في المقام الأول. بحلول الوقت الذي يتم فيه نشر CVE ويبدأ الاستغلال، لا تعرف العديد من المؤسسات أن البرنامج يعمل على بنيتها التحتية.

يكتشف فحص السطح الخارجي للهجوم هذه الفجوة. سيعمل الفحص من الخارج إلى الداخل للبنية التحتية لمؤسستك المواجهة للإنترنت على العثور على مثيلات ShowDoc، وأدوات التطوير المكشوفة، وبيئات الاختبار المنسية التي لا يمكن للفحص الداخلي اكتشافها - لأن الفحص الداخلي يغطي فقط ما تعرفه بالفعل.

كيف تساعد CybelAngel

سايبل أنجل إدارة سطح الهجوم تقوم الوحدة بمسح محيط مؤسستك الخارجي بشكل مستمر بحثًا عن الأصول المكشوفة — بما في ذلك الأدوات التي ينشرها المطورون مثل ShowDoc والتي توجد خارج مخزونات أصول تكنولوجيا المعلومات القياسية. عندما يظهر ثغرة أمنية جديدة (CVE) مع استغلال نشط، تحتاج إلى معرفة ما إذا كان البرنامج الضعيف يعمل على بنيتك التحتية في غضون ساعات، وليس بعد أيام من اكتشاف الاختراق.

لنا فريق رياكت يوفر توجيهات فورية عند تأثر أصولك المكشوفة بنقاط ضعف حرجة، من الاكتشاف إلى المعالجة. للمؤسسات القلقة بشأن التعرض لتكنولوجيا الظل والبنية التحتية التي ينشرها المطورون، فإن فريقنا استخبارات التهديدات السيبرانية تتبع القدرات حملات الاستغلال النشطة وتوفر إنذارًا مبكرًا عندما يبدأ الجهات الخبيثة في استهداف البرامج التي تستخدمها فرقك.

للمزيد حول كيفية استغلال المهاجمين للبنية التحتية للمطورين المكشوفة، اقرأ مقالنا تحليل اختطاف أجهزة التوجيه بواسطة APT28 أو استكشف CybelAngel's قدرات إدارة سطح الهجوم.

عن المؤلف