Uma vulnerabilidade crítica no ShowDoc, plataforma de documentação e colaboração amplamente utilizada na China, passou a ser explorada ativamente por hackers, acendendo um alerta importante para ambientes que ainda utilizam versões desatualizadas do sistema.

A falha, identificada como CVE-2025-0520, possui pontuação CVSS de 9.4 — considerada crítica — e está relacionada a um problema clássico, porém altamente perigoso: upload irrestrito de arquivos. Na prática, o sistema não valida corretamente extensões de arquivos, permitindo que invasores enviem arquivos maliciosos, como scripts PHP, diretamente para o servidor.

Cadeia de ataque: como a falha é explorada

O ataque é relativamente simples, mas extremamente eficaz — o que explica sua rápida adoção por hackers:

1. Acesso inicial (sem autenticação)

   A vulnerabilidade pode ser explorada sem necessidade de login, o que amplia drasticamente a superfície de ataque.

2. Upload de arquivo malicioso

   O invasor envia um arquivo PHP disfarçado, explorando a falha de validação do sistema.

3. Implantação de Web Shell

   Após o upload, o arquivo funciona como um web shell, permitindo controle remoto do servidor.

4. Execução remota de código (RCE)

   Com o web shell ativo, o hacker pode executar comandos arbitrários, acessar dados, instalar malwares ou movimentar-se lateralmente na rede.

Esse tipo de vulnerabilidade é especialmente crítico porque permite controle completo do servidor com poucos passos.

Exploração ativa confirmada

Embora a falha tenha sido corrigida na versão 2.8.7 do ShowDoc, lançada ainda em outubro de 2020, novas análises indicam que ela está sendo explorada ativamente pela primeira vez em larga escala.

Pesquisadores observaram tentativas reais de exploração em ambientes de honeypot nos Estados Unidos, onde hackers utilizaram a vulnerabilidade para instalar web shells em servidores vulneráveis.

Dados indicam que existem mais de 2.000 instâncias do ShowDoc expostas na internet, a maioria localizada na China — o que amplia o potencial impacto desse tipo de ataque.

Tendência: exploração de vulnerabilidades antigas (N-day)

Esse caso reforça uma tendência crescente no cenário de ameaças: o uso de vulnerabilidades N-day — falhas conhecidas e já corrigidas, mas que continuam sendo exploradas devido à falta de atualização dos sistemas.

Para hackers, esse modelo é altamente eficiente:

• Não exige descoberta de novas falhas (zero-day)

• Possui alto índice de sucesso

• Permite ataques automatizados em larga escala

Além disso, sistemas de documentação e colaboração como o ShowDoc frequentemente possuem acesso a informações sensíveis, o que aumenta o valor desses alvos.

Impacto e recomendações

O impacto potencial desse tipo de exploração é significativo, incluindo:

• Comprometimento total do servidor

• Roubo de dados sensíveis

• Implantação de malware ou ransomware

• Uso do ambiente como ponto de ataque para outras redes

A recomendação é direta: atualizar imediatamente para a versão mais recente (3.8.1) ou superior disponível.

Ambientes que não podem ser atualizados devem implementar controles compensatórios, como:

• Restrição de acesso externo

• Monitoramento de uploads

• Inspeção de arquivos e logs

• Uso de WAF para bloquear tentativas de exploração