CVE-2025-0520: ShowDoc RCEの脆弱性が活発に悪用される
目次
ShowDocにおける深刻なリモートコード実行の脆弱性(CVE-2025-0520、CVSSスコア9.4)が、現在活発に悪用されています。この脆弱性はShowDoc 2.8.7より前のバージョンに影響し、低レベルのアクセス権を持つ攻撃者が任意のPHPファイルをアップロードし、サーバー上でコードを実行することを可能にします。VulnCheckは今週、この脆弱性が活発に悪用されていることを確認し、オンラインで2,000以上の脆弱なインスタンスが特定されています。.
脆弱性とは
CVE-2025-0520 ShowDoc(主に中国で人気のあるオープンソースのドキュメンテーションおよびコラボレーションツール)における制限のないファイルアップロードの脆弱性です。この欠陥はShowDocの画像アップロードエンドポイントに存在し、ThinkPHPフレームワークのプロパティ名のエラーに起因しています。開発者は許可されるファイル拡張子をプロパティに割り当てました 拡張子を許可する, 、しかし、フレームワークは~を期待しています 拡張機能. フレームワークは認識できないプロパティをサイレントに無視するため、デフォルトではすべてのファイル拡張子(以下を除く)が許可されます。 .php.
低レベルのユーザー権限を持つ攻撃者は、エンドポイントを悪用できます。 /index.php?s=/home/page/uploadImg PHPウェブシェルを公開アクセス可能なディレクトリにアップロードすること。そこから、ウェブサーバープロセスと同じ権限で任意のコードが実行され、攻撃者は設定ファイルやデータベース認証情報への読み取りアクセス権を取得し、隣接するネットワークセグメントへの侵入が可能になります。.
この脆弱性は、2020年10月にリリースされたShowDocバージョン2.8.7で修正されました。 現在のバージョンは3.8.1です. それにもかかわらず、, VulnCheckのカナリア検知により、今週初めて悪用されたことが確認されました, 、観測されたエクスプロイトは、脆弱なバージョンを実行している米国ベースのハニーポットにWebシェルをドロップしました。.
ShowDocのインストールベースを超えて、これが重要である理由
ShowDocのインターネットに公開されたインスタンスは2,000を超えており、その大部分は中国にあります。活発な悪用は、トレンドの典型的な例です VulnCheckとThe Hacker News 脅威アクターは、ソフトウェアがどれほどニッチであっても、既存のインストールベース全体で、Nデイ脆弱性(既知の修正済み脆弱性)をますます標的にしていることに両者とも留意しています。.
より広範なリスクは、ShowDocに限定されるものではありません。それはパターンです。開発者が展開するツール(ドキュメントプラットフォーム、内部Wiki、コードリポジトリ、APIポータル)は、標準的なIT資産管理プロセスから外れて展開されることがよくあります。それらは頻繁に更新されず、インターネットに公開されたサーバーで実行されることが多く、APIキー、データベース接続文字列、内部ネットワーク図、システム構成などの機密性の高い技術コンテンツを定期的に chứa しており、攻撃者に横移動のための詳細なロードマップを提供します。.
脆弱なShowDocインスタンスは、単なる侵害されたドキュメントサーバーではありません。それは、そこに文書化されているあらゆるインフラストラクチャへの潜在的な足がかりとなります。.
セキュリティチームによる即時対応
について GitHubアドバイザリ と NVDエントリー ShowDocを実行しているすべての組織は、以下の両方で対処パスを確認してください。
- バージョン3.8.1に直ちにアップデートしてください。 — バージョン2.8.7は、この特定のCVEを修正しますが、3.8.1が現在のリリースです
- 最近のアクセスログを監査 POSTリクエスト用のShowDocインスタンスで
/index.php?s=/home/page/uploadImgアップロードディレクトリをチェックして予期しないものを検出します.phpファイル - ドキュメントサーバーに保存されているコンテンツを確認する — クレデンシャル、APIキー、内部ネットワークの詳細は、インターネットに公開されるプラットフォーム上に配置してはならない
- アクセスを制限 — ShowDoc がインターネットに公開される必要がない場合は、すぐに VPN またはファイアウォールで保護してください
- 外部の境界線をスキャンしてください セキュリティチームの認識なしにデプロイされた可能性のあるShowDocインスタンスすべてに対して — これは典型的なシャドーITの露出です
脆弱性のあるバージョンを実行中にインターネットに公開されたShowDocインスタンスは、すべて潜在的に侵害されたものとみなし、サービスに復帰させる前に完全なレビューを実施してください。.
シャドーITの問題をこれは示しています
CVE-2025-0520は珍しい脆弱性ではありません。これは、セキュリティチームの可視性の範囲外でデプロイされている開発者インフラストラクチャの量の珍しいリマインダーです。.
ドキュメントプラットフォーム、社内ツール、開発環境は、従来型の脆弱性管理プログラムでは見逃されがちな、インターネットに公開されたアセットの増加傾向にあるカテゴリです。これは、これらのツールが重要でないからではなく、そもそもアセットインベントリに登録されていなかったためです。CVEが公開され、エクスプロイトが開始される頃には、多くの組織は自社のインフラストラクチャでそのソフトウェアが実行されていることを把握していません。.
外部攻撃対象領域スキャンはこのギャップを捉えます。貴社のインターネットに面したインフラストラクチャの外部からのスキャンでは、内部スキャンでは見つけられないShowDocインスタンス、公開された開発ツール、および忘れられたステージング環境が見つかります。これは、内部スキャンはすでに把握していることしかカバーしないためです。.
CybelAngelがどのように役立つか
サイベルエンジェル アタックサーフェスマネジメント このモジュールは、組織の外部ペリメーターを継続的にスキャンし、標準的なIT資産インベントリの外部に存在するShowDocのような開発者によってデプロイされたツールを含む、露出した資産を検出します。アクティブなエクスプロイトを伴う新しいCVEが出現した場合、侵害が発見されてから数日後ではなく、数時間以内に、脆弱なソフトウェアがインフラストラクチャで実行されているかどうかを知る必要があります。.
私たち リアクトチーム 検出から修正まで、クリティカルな脆弱性が公開資産に影響を与えた場合に即座にガイダンスを提供します。シャドーITの露出や開発者が展開したインフラストラクチャを懸念する組織にとって、当社の サイバー脅威インテリジェンス 機能は、アクティブなエクスプロイトキャンペーンを追跡し、脅威アクターがチームが使用しているソフトウェアを標的化し始めたときに早期警告を提供します。.
攻撃者が公開された開発者インフラストラクチャをどのように悪用するかについて、詳しくは以下をお読みください。 APT28ルーター乗っ取り解析 CybelAngel を探る 攻撃対象領域管理機能.
著者について
