CVE-2025-54068

Vulnérabilité RCE dans Livewire : Exploitation et Corrigation

Une faille de sécurité critique, identifiée comme CVE-2025-54068, affecte les versions de Livewire, un framework pour Laravel, jusqu’à la version v3.6.3 incluse. Cette vulnérabilité de type exécution de code à distance (RCE) permet à des attaquants non authentifiés d’exécuter du code arbitraire sur les systèmes cibles.

Points Clés :

• Nature de la vulnérabilité : Exécution de code à distance (RCE).
• Composant affecté : Livewire, un framework pour Laravel.
• Versions concernées : v3 jusqu’à v3.6.3 inclus.
• Mécanisme d’exploitation : Exploite une mauvaise gestion des mises à jour de propriétés de composant lors de l’étape d’hydratation. Un payload malveillant peut contourner la validation et la sanitisation, menant à l’interprétation de données non fiables comme du code exécutable.
• Conditions d’exploitation : Nécessite qu’un composant soit monté et configuré d’une manière spécifique. Aucune authentification ou interaction utilisateur n’est requise pour l’exploitation.
• Localisation de la faille : Méthode hydrateForUpdate dans la classe Livewire\Mechanisms\HandleComponents\HandleComponents.

Vulnérabilité :

• CVE : CVE-2025-54068
• Type : Exécution de code à distance (RCE)

Recommandations :

• Mise à jour : Il est fortement recommandé de mettre à jour vers Livewire v3.6.4 ou une version ultérieure dès que possible.
• Absence de contournement : Aucune solution de contournement n’est disponible pour cette vulnérabilité.

Source