CVE-2025-54068
Mis à jour :
Vulnérabilité Critique dans Livewire : Exécution de Code à Distance
Une faille de sécurité de type exécution de code à distance (RCE) a été identifiée dans le framework Livewire pour Laravel, affectant les versions 3.x jusqu’à la 3.6.3. Cette vulnérabilité, référencée sous le code CVE-2025-54068, permettrait à des attaquants non authentifiés d’exécuter du code arbitraire sur un système vulnérable. L’exploitation, bien que nécessitant une configuration spécifique du composant, ne requiert ni authentification ni interaction utilisateur.
Le défaut réside dans la gestion des mises à jour de certaines propriétés de composants lors du processus d’hydratation. Une charge utile malveillante spécialement conçue peut contourner les contrôles de validation et de nettoyage, conduisant le framework à interpréter des données non fiables comme du code exécutable.
Points Clés :
- Type de vulnérabilité : Exécution de Code à Distance (RCE).
- Logiciel affecté : Livewire pour Laravel, versions 3.x jusqu’à v3.6.3.
- Identifiant CVE : CVE-2025-54068.
Vulnérabilités :
- CVE-2025-54068 : Permet l’exécution de code à distance via une manipulation du processus d’hydratation des propriétés de composants.
Recommandations :
- Mise à jour : Appliquer immédiatement la mise à jour vers Livewire v3.6.4 ou une version ultérieure.
- Aucune contournement connu.