Μια σημαντική ευπάθεια ασφαλείας ανακαλύφθηκε στο Livewire Filemanager, ένα ευρέως χρησιμοποιούμενο στοιχείο διαχείρισης αρχείων που είναι ενσωματωμένο σε εφαρμογές Ιστού Laravel.
Παρακολούθηση ως CVE-2025-14894 και εκχωρημένη σημείωση ευπάθειας VU#650657, το ελάττωμα επιτρέπει στους εισβολείς χωρίς έλεγχο ταυτότητας να εκτελούν αυθαίρετο κώδικα σε ευάλωτους διακομιστές.
Το θέμα ευπάθειας προέρχεται από ακατάλληλη επικύρωση αρχείου στο στοιχείο LivewireFilemanagerComponent.php.
Το εργαλείο αποτυγχάνει να επιβάλει επαρκή τύπο αρχείου και επικύρωση MIME, επιτρέποντας στους εισβολείς να ανεβάζουν κακόβουλα αρχεία PHP απευθείας μέσω της διεπαφής ιστού.
| CVE ID | Αναγνωριστικό παρακολούθησης | Ημερομηνία δημοσίευσης | Αυστηρότητα |
|---|---|---|---|
| CVE-2025-14894 | VU#650657 | 16 Ιανουαρίου 2026 | Ψηλά |
Μετά τη μεταφόρτωση, αυτά τα αρχεία μπορούν να εκτελεστούν μέσω του δημόσια προσβάσιμου καταλόγου /storage/, με την προϋπόθεση ότι η εντολή php artisan storage: link έχει εκτελεστεί κατά τη διάρκεια της τυπικής διαδικασίας εγκατάστασης Laravel.
Ο προμηθευτής επισημαίνει σκόπιμα την επικύρωση τύπου αρχείου ως εκτός πεδίου εφαρμογής στην τεκμηρίωση ασφαλείας του, αναθέτοντας την ευθύνη για την επικύρωση στους προγραμματιστές.
Ωστόσο, το κρίσιμο ζήτημα έγκειται στην αρχιτεκτονική του εργαλείου, η οποία εκθέτει άμεσα τα μεταφορτωμένα αρχεία σε εκτέλεση χωρίς πρόσθετες διασφαλίσεις.
Η επιτυχής εκμετάλλευση παρέχει στους εισβολείς απομακρυσμένη εκτέλεση κώδικα (RCE) με τα προνόμια του χρήστη του διακομιστή web.
Αυτό επιτρέπει την πλήρη παραβίαση του συστήματος, συμπεριλαμβανομένης της απεριόριστης πρόσβασης ανάγνωσης και εγγραφής αρχείων σε όλα τα αρχεία που είναι προσβάσιμα από τη διαδικασία του διακομιστή web. Οι επιτιθέμενοι μπορούν στη συνέχεια να περιστρέφονται για να υπονομεύσουν τα συνδεδεμένα συστήματα και την υποδομή.
Η επίθεση δεν απαιτεί έλεγχο ταυτότητας και μπορεί να εκτελεστεί εξ αποστάσεως ανεβάζοντας απλώς ένα κέλυφος ιστού PHP στην εφαρμογή μέσω της διεπαφής μεταφόρτωσης του Livewire Filemanager και, στη συνέχεια, ενεργοποιώντας την εκτέλεση αποκτώντας πρόσβαση στο αρχείο μέσω της διεύθυνσης URL αποθήκευσης.
Πλατφόρμες και κατάσταση που επηρεάζονται
Κατά τη στιγμή της αποκάλυψης, οι πωλητές δεν έχουν αναγνωρίσει την ευπάθεια.
| Οντότητα | Κατάσταση |
|---|---|
| Bee Interactive | Αγνωστος |
| Laravel | Αγνωστος |
| Laravel Swiss | Αγνωστος |
CERT/CC συνιστά Άμεσα προστατευτικά μέτρα, συμπεριλαμβανομένης της επαλήθευσης εάν έχει εκτελεστεί ο σύνδεσμος php artisan storage: και, εάν επιβεβαιωθεί, η κατάργηση της δυνατότητας web service.
Οι οργανισμοί που χρησιμοποιούν το Livewire Filemanager θα πρέπει να εφαρμόζουν αμέσως περιορισμούς μεταφόρτωσης αρχείων σε επίπεδο εφαρμογής, ανεξάρτητα από τη λειτουργικότητα του Livewire.
Εξετάστε το ενδεχόμενο εφαρμογής αυστηρών πολιτικών λίστας επιτρεπόμενων που περιορίζουν τις μεταφορτώσεις σε ασφαλείς τύπους αρχείων και εφαρμόζουν ολοκληρωμένη επικύρωση τύπου MIME.
Αποθήκευση μεταφορτωμένων αρχείων εκτός του καταλόγου που είναι προσβάσιμος στον ιστό. Απενεργοποιήστε τον σύνδεσμο δημόσιου αποθηκευτικού χώρου εάν η υπηρεσία web δεν είναι απαραίτητη για λειτουργίες.
