CVE-2025-54068
Mis à jour :
Exploitation de Code à Distance dans Livewire
Une faille de sécurité critique, référencée CVE-2025-54068, a été découverte dans le framework Livewire pour Laravel. Cette vulnérabilité, présente dans les versions v3 jusqu’à v3.6.3 incluses, permet à des attaquants non authentifiés d’exécuter du code arbitraire à distance.
L’exploitation exploite une faiblesse dans la gestion des mises à jour de propriétés de composants lors du processus d’hydratation. Un payload spécialement conçu peut contourner les contrôles de validation et de nettoyage, incitant le framework à exécuter du code non fiable. Bien que l’exploitation nécessite que le composant soit monté et configuré d’une manière spécifique, elle ne demande ni authentification ni interaction utilisateur.
Points Clés
- Type de Vulnérabilité: Exécution de Code à Distance (RCE)
- Produit Affecté: Livewire
- Versions Affectées: v3 jusqu’à v3.6.3 incluses
- Atténuation: La faille a été corrigée dans Livewire v3.6.4.
Vulnérabilités
- CVE-2025-54068: Permet l’exécution de code arbitraire à distance via une mauvaise gestion des mises à jour de composants durant l’hydratation.
Recommandations
- Mise à niveau: Il est fortement recommandé de mettre à jour Livewire vers la version v3.6.4 ou une version ultérieure.
- Absence de contournement: Aucune solution de contournement autre que la mise à niveau n’est disponible.