كشفت تقارير أمنية حديثة عن استغلال نشط لثغرة أمنية خطيرة في منصة ShowDoc، وهي خدمة لإدارة الوثائق والتعاون شائعة الاستخدام في الصين. الثغرة المعروفة باسم CVE-2025-0520 (المسجلة أيضاً تحت رقم CNVD-2020-26585) تحمل تقييم خطورة مرتفع جداً بلغ 9.4 وفق معيار CVSS، ما يجعلها من بين الثغرات الأكثر تهديداً في الوقت الراهن.
تفاصيل الثغرة وآلية الاستغلال
تعود الثغرة إلى مشكلة في التحقق من امتدادات الملفات المرفوعة، حيث تسمح برفع ملفات PHP ضارة دون قيود، ما يمكّن المهاجمين من زرع Web Shell وتنفيذ أوامر عشوائية على الخادم المستهدف. ووفقاً لتحذير صادر عن منصة Vulhub، فإن جميع إصدارات ShowDoc قبل النسخة 2.8.7 الصادرة في أكتوبر 2020 معرضة لهذا الخطر. أما النسخة الحالية فهي 3.8.1، ما يعني أن المستخدمين الذين لم يقوموا بالتحديث منذ سنوات يواجهون تهديداً مباشراً.
أول رصد للاستغلال النشط
أفادت شركة VulnCheck أن هذه الثغرة دخلت مرحلة الاستغلال الفعلي لأول مرة، حيث تم رصد هجوم على خادم تجريبي (Honeypot) في الولايات المتحدة يعمل بإصدار قديم من ShowDoc. المهاجمون استغلوا الثغرة لزرع Web Shell وتنفيذ تعليمات برمجية عن بُعد، وهو ما يؤكد خطورة ترك الأنظمة دون تحديثات أمنية.
انتشار ShowDoc ومخاطر الاستهداف
تشير البيانات إلى وجود أكثر من 2000 نسخة من ShowDoc متاحة عبر الإنترنت، معظمها في الصين، ما يفتح الباب أمام موجة واسعة من الهجمات المحتملة. ورغم أن قاعدة المستخدمين ليست ضخمة مقارنة ببرمجيات عالمية مثل Microsoft Exchange أو Adobe، إلا أن استغلال ثغرات في منصات محلية يوضح أن المهاجمين لا يميزون بين البرمجيات العالمية أو الإقليمية، بل يركزون على أي هدف غير محمي.
سياق أوسع للهجمات على ثغرات N-day
تأتي هذه التطورات في إطار تصاعد استغلال ما يُعرف بـ ثغرات N-day، أي الثغرات التي تم الكشف عنها سابقاً ولكن لم يقم جميع المستخدمين بتحديث أنظمتهم لسدها. هذا النمط من الهجمات يثبت أن المهاجمين لا يحتاجون دائماً إلى ثغرات جديدة (Zero-day)، بل يمكنهم الاعتماد على ثغرات قديمة لم يتم إصلاحها بشكل شامل. وهو ما يضع المؤسسات أمام مسؤولية مضاعفة لتطبيق التحديثات فور صدورها وعدم التراخي في إدارة الثغرات.
