一個5年前就該修好的漏洞，現(xiàn)在才被黑客大規(guī)模利用。ShowDoc的CVE-2025-0520（CVSS評分9.4/10）正在野外活躍，攻擊者無需認(rèn)證就能上傳Web Shell，直接接管服務(wù)器。

這不是零日漏洞，而是典型的N-day攻擊——補丁2020年10月就發(fā)布了，版本號2.8.7。

VulnCheck的安全研究副總裁Caitlin Condon披露了最新情況：攻擊者已經(jīng)盯上一臺部署在美國的蜜罐，成功植入Web Shell。她的團隊掃描發(fā)現(xiàn)，全球仍有超過2000個ShowDoc實例在線運行，絕大多數(shù)位于中國。

換句話說，這些服務(wù)器要么從沒更新過，要么管理員根本不知道這個項目的存在。

漏洞本身：一個文件上傳的低級錯誤

ShowDoc的定位是文檔管理和協(xié)作工具，類似簡化的Confluence，在開發(fā)者和小團隊里有一定用戶基礎(chǔ)。它的漏洞出在文件上傳環(huán)節(jié)——后端沒校驗文件擴展名，攻擊者直接把.php文件偽裝成圖片傳上去，服務(wù)器就認(rèn)了。

Vulhub的 advisory 描述得很直接：「在2.8.7之前的版本中，存在未經(jīng)限制且未經(jīng)認(rèn)證的文件上傳問題，攻擊者能夠上傳Web Shell并在服務(wù)器上執(zhí)行任意代碼?！?/p>

CVSS 9.4分意味著攻擊門檻極低：無需認(rèn)證、無需用戶交互、通過網(wǎng)絡(luò)即可利用。這種配置在漏洞評分體系里屬于"拿到URL就能打"的級別。

2020年10月的2.8.7版本修復(fù)了這個問題?，F(xiàn)在ShowDoc的最新版本是3.8.1，中間隔了整整18個小版本。但漏洞編號卻是CVE-2025-0520——這是因為MITRE今年才正式分配編號，漏洞本身早就存在。

為什么現(xiàn)在才爆發(fā)？N-day攻擊的狩獵邏輯

Condon觀察到的攻擊模式，和近年安全行業(yè)的趨勢高度吻合。攻擊者不再死磕零日漏洞，而是轉(zhuǎn)向"N-day"——那些已經(jīng)公開、有補丁、但大量實例未修復(fù)的漏洞。

這種策略的轉(zhuǎn)變很現(xiàn)實：挖零日需要投入大量資源，還可能被防御方快速響應(yīng)。而N-day漏洞的利用工具一旦公開，攻擊者可以用掃描器批量狩獵，ROI高得多。

ShowDoc的案例特別典型：它不是一個商業(yè)軟件，沒有自動更新機制，用戶群體又以個人開發(fā)者和小團隊為主，安全意識參差不齊。

2000多個在線實例，大部分在中國。這個數(shù)字背后是一堆被遺忘的測試環(huán)境、離職員工部署的內(nèi)部工具、或者某個創(chuàng)業(yè)公司的文檔站——服務(wù)器還在跑，但已經(jīng)沒人管了。

蜜罐捕獲的攻擊來自美國IP，但Condon沒有透露更多細節(jié)。這種地理位置的錯位很常見：攻擊者用全球分布的基礎(chǔ)設(shè)施掃描，哪里 vulnerable 打哪里。

修復(fù)建議與現(xiàn)實的落差

官方建議很簡單：升級到最新版本。但執(zhí)行層面到處是坑。

ShowDoc是開源項目，部署方式五花八門。有人用Docker一鍵拉取，有人在云服務(wù)器手動配置，還有人內(nèi)網(wǎng)部署后忘了映射端口。5年前的版本能跑，很多人就沒動力動它。

更麻煩的是，這類工具往往成為"影子IT"——不是IT部門統(tǒng)一采購的，安全團隊甚至不知道它的存在。等漏洞爆發(fā)時，連資產(chǎn)清單都拉不出來。

Condon的數(shù)據(jù)來自互聯(lián)網(wǎng)掃描，只能看到暴露公網(wǎng)的實例。實際風(fēng)險可能更大：很多企業(yè)把ShowDoc放在內(nèi)網(wǎng)，以為這樣就安全，但一旦邊界被突破，這些未修復(fù)的實例就是現(xiàn)成的跳板。

Web Shell上傳后，攻擊者通常會做權(quán)限維持、橫向移動、或者干脆挖礦。Condon沒有披露這次捕獲的具體payload，但9.4分的漏洞配合未修復(fù)的服務(wù)器，攻擊者的操作空間幾乎是滿的。

同類漏洞的連鎖反應(yīng)

ShowDoc不是孤例。原文列出的其他漏洞事件，勾勒出2025年安全威脅的輪廓：

Fortinet的FortiClient EMS剛修了CVE-2026-35616，也是正在被利用的狀態(tài)；Docker的CVE-2026-34040能讓攻擊者繞過授權(quán)拿到宿主機權(quán)限；Next.js的CVE-2025-55182已經(jīng)導(dǎo)致766臺主機憑證泄露。

這些漏洞的共同點是：影響基礎(chǔ)設(shè)施層，修復(fù)依賴用戶主動行動，而用戶往往不動。

攻擊者的工具鏈正在工業(yè)化。VulnCheck這類公司存在的價值，就是把"誰在打"和"誰能被打"的數(shù)據(jù)實時同步給防御方。但數(shù)據(jù)到手之后，能不能推動修復(fù)，又是另一個問題。

ShowDoc的維護者看起來還在活躍——3.8.1是近期版本，GitHub也有提交記錄。但開源項目的安全通知機制天生薄弱，用戶不訂閱郵件列表、不看Release Note，就永遠不會知道2.8.7那個"修復(fù)文件上傳問題"的commit意味著什么。

Condon在披露時特意強調(diào)了"first time"——這是她團隊第一次觀察到該漏洞的野外利用。但"第一次被發(fā)現(xiàn)"不等于"第一次發(fā)生"，之前的攻擊可能從未被記錄。

2000臺服務(wù)器，5年補丁空窗期，9.4分漏洞。這三個數(shù)字放在一起，攻擊者沒理由不試試。

你的團隊里，有沒有跑著類似ShowDoc這種"沒人管但還在用"的工具？最近一次檢查它的版本號，是什么時候？