Actores de amenazas explotan vulnerabilidad de subida de archivos sin restricciones para desplegar web shells. Más de 2,000 instancias permanecen expuestas en internet, la mayoría en China, pero el riesgo es global.
Una vulnerabilidad crítica de ejecución remota de código (RCE) en ShowDoc está siendo explotada activamente por actores de amenazas que escanean internet en busca de servidores sin parchear. El fallo, identificado como CVE-2025-0520 en el GitHub Advisory Database, recibió una puntuación CVSS de 9.4 sobre 10, lo que lo coloca en la categoría de severidad crítica. Investigadores de VulnCheck confirmaron que la explotación ya está ocurriendo en el wild tras detectar intentos de ataque contra un honeypot desplegado en Estados Unidos.
El vector de ataque aprovecha una falla de subida de archivos sin restricciones causada por una validación deficiente de extensiones de archivo. Esto permite a un atacante subir archivos PHP arbitrarios al servidor vulnerable y ejecutar código de forma remota sin necesidad de autenticación previa.
En la práctica, los atacantes despliegan web shells que les otorgan control total sobre el sistema comprometido. Según el advisory oficial, el problema radica en que ShowDoc no valida adecuadamente qué tipos de archivos pueden subirse a través de su funcionalidad de carga, permitiendo que scripts maliciosos pasen desapercibidos y se ejecuten en el servidor.
ShowDoc es una herramienta de gestión documental y colaboración en línea particularmente popular entre equipos de desarrollo. Según datos de VulnCheck, existen más de 2.000 instancias de ShowDoc expuestas públicamente en internet, con una concentración significativa en servidores chinos. Sin embargo, el riesgo es global, cualquier instancia no actualizada accesible desde internet es un objetivo potencial.
Los atacantes utilizan herramientas automatizadas para escanear rangos de IP en busca de versiones vulnerables, lo que significa que la exposición no se limita a organizaciones específicas sino a cualquier implementación accesible.
El fallo afecta a todas las versiones de ShowDoc anteriores a la 2.8.7, que fue lanzada en octubre de 2020 como documento oficial de ShowDoc. La versión actual del software es la 3.8.1, lo que significa que el parche ha estado disponible durante más de cinco años. A pesar de esto, miles de servidores permanecen vulnerables, ilustrando el problema persistente del patch management en entornos de producción.
Las consecuencias de una explotación exitosa son severas. Los atacantes que logran RCE pueden robar credenciales almacenadas, exfiltrar documentos sensibles, instalar ransomware o utilizar el servidor comprometido como punto de pivote para atacar otros sistemas dentro de la red corporativa. El despliegue de web shells también permite la persistencia a largo plazo, ya que los atacantes pueden regresar al sistema incluso después de que se hayan aplicado parches si no se realiza una limpieza forense completa.
Las organizaciones que utilizan ShowDoc deben actualizar inmediatamente a la versión 2.8.7 o superior, idealmente a la última versión disponible. Los equipos de seguridad deben auditar sus activos expuestos en busca de instancias ShowDoc y revisar los registros de acceso en busca de indicadores de compromiso, particularmente archivos PHP inusuales en directorios de carga y solicitudes POST anómalas hacia endpoints de subida de archivos.
FUENTE ORIGINAL
GitHub Advisory Database↗CURADO POR
Johan Ricardo