CVE-2025-54068

Exécution de Code à Distance dans Livewire v3

Une faille de sécurité critique a été découverte dans le framework Livewire pour Laravel, impactant les versions v3 jusqu’à la v3.6.3 incluse. Cette vulnérabilité, identifiée sous le nom de CVE-2025-54068, permet à des attaquants non authentifiés d’exécuter du code arbitraire à distance sur les systèmes affectés.

Points Clés :

• Type de Vulnérabilité : Exécution de code à distance (RCE).
• Composant Affecté : Framework Livewire pour Laravel.
• Versions Impactées : Livewire v3.x jusqu’à la v3.6.3.
• Mécanisme : Une mauvaise gestion des mises à jour de propriétés de composants lors du processus d’hydratation permet de contourner les validations et de faire interpréter des entrées non fiables comme du code exécutable.
• Conditions d’Exploitation : Le composant doit être monté et configuré d’une manière spécifique. L’authentification ou l’interaction utilisateur ne sont pas requises.
• Class et Méthode Affectées : Livewire\Mechanisms\HandleComponents\HandleComponents et plus précisément la méthode hydrateForUpdate.

Vulnérabilité :

• CVE : CVE-2025-54068

Recommandations :

• Mise à jour immédiate : Les utilisateurs de Livewire v3 sont fortement encouragés à mettre à jour vers la version v3.6.4 ou une version ultérieure dès que possible.
• Aucune solution de contournement connue : Il n’existe pas de méthodes alternatives pour atténuer ce risque sans procéder à la mise à jour.

Source