CVE-2025-54068
Livewire vulnerable to remote command execution during property update hydration
En resumen
Livewire v3 (hasta 3.6.3) permite que atacantes ejecuten comandos en el servidor sin autenticarse explotando cómo se actualizan las propiedades de los componentes. Es crítico porque puede dar a los atacantes control total de la aplicación.
Detalle técnico
Vulnerabilidad CWE-94 (Control Inadecuado de Generación de Código) en el mecanismo de hidratación de propiedades de Livewire permite ejecución remota de código sin autenticación cuando existen configuraciones específicas de componentes. El vector es red, sin requerir interacción del usuario; la explotación ocurre durante deserialización de actualización de propiedad sin validación adecuada, resultando en ejecución de comando arbitrario con privilegios de la aplicación.
Resumen generado y traducido por IA a partir de la descripción oficial.
Livewire is a full-stack framework for Laravel. In Livewire v3 up to and including v3.6.3, a vulnerability allows unauthenticated attackers to achieve remote command execution in specific scenarios. The issue stems from how certain component property updates are hydrated. This vulnerability is unique to Livewire v3 and does not affect prior major versions. Exploitation requires a component to be mounted and configured in a particular way, but does not require authentication or user interaction. This issue has been patched in Livewire v3.6.4. All users are strongly encouraged to upgrade to this version or later as soon as possible. No known workarounds are available.
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.