聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
一款广泛应用于Laravel web应用的嵌入式文件管理组件 Livewire Filemanager 中存在一个高危漏洞CVE-2025-14894,可导致未经身份验证的攻击者在易受攻击的服务器上执行任意代码。
对 LivewireFilemanagerComponent.php 组件中的文件验证不当导致该漏洞。该工具未能执行正确的文件类型和MIME验证,导致攻击者直接通过 web 接口上传恶意 PHP 文件。一旦上传成功,只要在标准的 Laravel 设置流程中执行php artisan storage:link 命令,就可通过公开可访问的 /storage/ 目录被执行。
值得注意的是,供应商故意未将文件类型验证纳入安全文档,将验证责任推给开发人员。然而,由于该严重漏洞位于该工具的架构中,因此无需其它防护措施,即导致上传文件被执行。成功利用该漏洞可导致攻击者以 web 服务器用户的权限执行远程代码,从而导致系统遭完全攻陷,如对 web 服务器进程可访问的所有文件拥有不受限的文件读写权限。攻击者之后可跳转到受陷的联网系统和基础设施。
执行攻击无需身份验证,只需通过 Livewire Filemanager 的上传接口将 PHP webshell 上传到应用,之后通过存储URL访问文件,即可触发攻击执行。
受影响平台和状况
在该漏洞被披露时,Bee Interactive、Laravel和 Laravel Swiss厂商并未证实该漏洞的存在。CERT/CC 建议立即采取防护措施,如验证 php artisan storage:link 是否已被执行;如确认,则删除 web 服务能力。
使用 Livewire Filemanager的组织机构应当立即在应用程序层执行文件上传限制机制(独立于Livewire功能);执行严格的白名单策略,仅限上传安全的文件类型并应用全面的 MIME 类型验证。将上传的文件存储在 web 可访问目录之外。如果操作无需使用 web 服务,则关闭公开存储链接。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
OpenSSH 严重漏洞可导致 Moxa 以太网交换机易受RCE攻击
趋势科技:速修复这个严重的 Apex Central RCE漏洞
Veeam 修复备份服务器中的RCE漏洞
AdonisJS 9.2 框架存在严重漏洞,可导致任意文件写入和RCE
CISA 将已遭利用的 Digiever NVR RCE漏洞纳入KEV
原文链接
https://cybersecuritynews.com/livewire-filemanager-vulnerability/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
</span>)
)
