ShowDoc 9.4分漏洞被拖了5年，2000台服务器还在裸奔

一个5年前就该修好的漏洞，现在才被黑客大规模利用。ShowDoc的CVE-2025-0520（CVSS评分9.4/10）正在野外活跃，攻击者无需认证就能上传Web Shell，直接接管服务器。

这不是零日漏洞，而是典型的N-day攻击——补丁2020年10月就发布了，版本号2.8.7。

VulnCheck的安全研究副总裁Caitlin Condon披露了最新情况：攻击者已经盯上一台部署在美国的蜜罐，成功植入Web Shell。她的团队扫描发现，全球仍有超过2000个ShowDoc实例在线运行，绝大多数位于中国。

换句话说，这些服务器要么从没更新过，要么管理员根本不知道这个项目的存在。

漏洞本身：一个文件上传的低级错误

ShowDoc的定位是文档管理和协作工具，类似简化的Confluence，在开发者和小团队里有一定用户基础。它的漏洞出在文件上传环节——后端没校验文件扩展名，攻击者直接把.php文件伪装成图片传上去，服务器就认了。

Vulhub的 advisory 描述得很直接：「在2.8.7之前的版本中，存在未经限制且未经认证的文件上传问题，攻击者能够上传Web Shell并在服务器上执行任意代码。」

CVSS 9.4分意味着攻击门槛极低：无需认证、无需用户交互、通过网络即可利用。这种配置在漏洞评分体系里属于"拿到URL就能打"的级别。

2020年10月的2.8.7版本修复了这个问题。现在ShowDoc的最新版本是3.8.1，中间隔了整整18个小版本。但漏洞编号却是CVE-2025-0520——这是因为MITRE今年才正式分配编号，漏洞本身早就存在。

为什么现在才爆发？N-day攻击的狩猎逻辑

Condon观察到的攻击模式，和近年安全行业的趋势高度吻合。攻击者不再死磕零日漏洞，而是转向"N-day"——那些已经公开、有补丁、但大量实例未修复的漏洞。

这种策略的转变很现实：挖零日需要投入大量资源，还可能被防御方快速响应。而N-day漏洞的利用工具一旦公开，攻击者可以用扫描器批量狩猎，ROI高得多。

ShowDoc的案例特别典型：它不是一个商业软件，没有自动更新机制，用户群体又以个人开发者和小团队为主，安全意识参差不齐。

2000多个在线实例，大部分在中国。这个数字背后是一堆被遗忘的测试环境、离职员工部署的内部工具、或者某个创业公司的文档站——服务器还在跑，但已经没人管了。

蜜罐捕获的攻击来自美国IP，但Condon没有透露更多细节。这种地理位置的错位很常见：攻击者用全球分布的基础设施扫描，哪里 vulnerable 打哪里。

修复建议与现实的落差

官方建议很简单：升级到最新版本。但执行层面到处是坑。

ShowDoc是开源项目，部署方式五花八门。有人用Docker一键拉取，有人在云服务器手动配置，还有人内网部署后忘了映射端口。5年前的版本能跑，很多人就没动力动它。

更麻烦的是，这类工具往往成为"影子IT"——不是IT部门统一采购的，安全团队甚至不知道它的存在。等漏洞爆发时，连资产清单都拉不出来。

Condon的数据来自互联网扫描，只能看到暴露公网的实例。实际风险可能更大：很多企业把ShowDoc放在内网，以为这样就安全，但一旦边界被突破，这些未修复的实例就是现成的跳板。

Web Shell上传后，攻击者通常会做权限维持、横向移动、或者干脆挖矿。Condon没有披露这次捕获的具体payload，但9.4分的漏洞配合未修复的服务器，攻击者的操作空间几乎是满的。

同类漏洞的连锁反应

ShowDoc不是孤例。原文列出的其他漏洞事件，勾勒出2025年安全威胁的轮廓：

Fortinet的FortiClient EMS刚修了CVE-2026-35616，也是正在被利用的状态；Docker的CVE-2026-34040能让攻击者绕过授权拿到宿主机权限；Next.js的CVE-2025-55182已经导致766台主机凭证泄露。

这些漏洞的共同点是：影响基础设施层，修复依赖用户主动行动，而用户往往不动。

攻击者的工具链正在工业化。VulnCheck这类公司存在的价值，就是把"谁在打"和"谁能被打"的数据实时同步给防御方。但数据到手之后，能不能推动修复，又是另一个问题。

ShowDoc的维护者看起来还在活跃——3.8.1是近期版本，GitHub也有提交记录。但开源项目的安全通知机制天生薄弱，用户不订阅邮件列表、不看Release Note，就永远不会知道2.8.7那个"修复文件上传问题"的commit意味着什么。

Condon在披露时特意强调了"first time"——这是她团队第一次观察到该漏洞的野外利用。但"第一次被发现"不等于"第一次发生"，之前的攻击可能从未被记录。

2000台服务器，5年补丁空窗期，9.4分漏洞。这三个数字放在一起，攻击者没理由不试试。

你的团队里，有没有跑着类似ShowDoc这种"没人管但还在用"的工具？最近一次检查它的版本号，是什么时候？