CVE-2025-54068

Faille Critique dans Livewire Permettant l’Exécution de Code à Distance

Une vulnérabilité de sécurité (CVE-2025-54068) a été identifiée dans le framework Livewire pour Laravel, affectant les versions 3.x jusqu’à la version 3.6.3 incluse. Cette faille, qui permet l’exécution de commandes à distance (RCE), résulte d’une mauvaise gestion des mises à jour de propriétés de certains composants durant le processus d’hydratation.

Points Clés :

• Type de Vulnérabilité : Exécution de commandes à distance (RCE).
• Logiciel Affecté : Livewire, versions 3.x jusqu’à v3.6.3.
• Mécanisme : Une mise à jour malveillante du composant peut contourner les validations et les assainissements, menant à l’interprétation d’entrées non fiables comme du code exécutable.
• Conditions d’Exploitation : Le composant doit être monté et configuré d’une manière spécifique. L’authentification n’est pas requise.

Vulnérabilité :

• CVE : CVE-2025-54068
• Détails : La faille réside dans la méthode hydrateForUpdate de la classe Livewire\Mechanisms\HandleComponents\HandleComponents.

Recommandations :

• Mise à Jour Immédiate : Il est fortement recommandé de mettre à jour Livewire vers la version 3.6.4 ou une version ultérieure dès que possible.
• Aucun Contournement : Il n’existe actuellement aucun contournement connu pour cette vulnérabilité.

Source