CVE-2025-54068

Faille de sécurité critique dans Livewire : exécution de code à distance

Une vulnérabilité majeure, identifiée sous le nom de CVE-2025-54068, a été découverte dans Livewire, un framework full-stack pour Laravel. Elle affecte les versions de Livewire 3 jusqu’à la v3.6.3 incluse.

Ce défaut de sécurité permet à des attaquants non authentifiés d’exécuter du code arbitraire à distance. Le problème provient de la manière dont certaines mises à jour de propriétés de composants sont traitées lors de leur “hydratation”. Un attaquant peut manipuler des données d’entrée non fiables pour qu’elles soient interprétées comme du code exécutable. Bien que l’exploitation nécessite que le composant soit monté et configuré d’une manière spécifique, aucune authentification ni interaction utilisateur n’est requise.

Points clés :

• Type de vulnérabilité : Exécution de code à distance (RCE).
• Logiciel affecté : Livewire, framework pour Laravel.
• Versions concernées : v3 jusqu’à v3.6.3 incluses.
• Impact : Permet à des attaquants non authentifiés d’exécuter du code arbitraire.

Vulnérabilité :

• CVE : CVE-2025-54068
• Cause : Mauvaise gestion de la validation et de la désinfection des entrées lors du processus d’hydratation (hydrateForUpdate dans Livewire\Mechanisms\HandleComponents\HandleComponents).

Recommandations :

• Mise à jour : La seule mesure corrective est de mettre à jour vers Livewire v3.6.4 ou une version ultérieure.
• Aucune solution de contournement connue.

Source