Livewire的严重缺陷使Laravel应用易受隐蔽远程代码执行攻击,PoC已发布

admin
admin
admin
0
文章
0
评论
2025-12-27 01:59:32 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Synacktiv揭示Livewire存在严重漏洞CVE-2025-54068,允许攻击者绕过APP_KEY验证,利用PHP反序列化实现隐蔽RCE。尽管升级至3.6.4可修补绕过漏洞,但APP_KEY泄露时应用仍极度脆弱。建议立即升级版本、强制严格类型定义并严守APP_KEY。已发布PoC工具Livepyre。 综合评分: 91 文章分类: 漏洞预警,漏洞分析,WEB安全,漏洞POC

cover_image

Livewire 的严重缺陷使 Laravel 应用易受隐蔽远程代码执行攻击,PoC 已发布

sec随谈

sec随谈

2025年12月26日 12:20 中国香港

依赖 Livewire(Laravel 中用于构建动态界面的核心框架)的开发者正面临着严峻的安全挑战。安全公司 Synacktiv的深度分析揭示了一个关键漏洞和一个长期存在的缺陷,攻击者可以利用该漏洞和缺陷在全球超过 13 万个应用程序的服务器上执行任意代码。

该漏洞编号为 CVE-2025-54068,利用了 Livewire 的内部“水合”机制——该机制用于在服务器和浏览器之间同步状态。虽然已发布补丁,但研究人员警告称,这一基本设计特性对于凭据泄露的应用程序而言仍然是一颗定时炸弹。

Livewire 非常流行,在超过 30% 的 Laravel 新项目中用于创建交互式前端,且 JavaScript 代码量极少。它的工作原理是将组件的状态“脱水”成序列化格式发送给客户端,并在客户端收到数据后将其“重新水合”回去。

Synacktiv 的研究人员发现他们可以操控这一过程。通过识别涉及 PHP 反序列化函数 (unserialize()) 行为的组件链,他们找到了一种实现“隐蔽远程命令执行”的方法。

问题的核心在于 Livewire 处理更新的方式。“默认情况下,如果开发者不强制组件参数使用强类型,它们就容易受到类型转换攻击,”报告解释道。攻击者可以发送精心构造的请求,将一个简单的整数计数器转换为恶意数组,诱使服务器执行恶意代码。

通常情况下,Livewire 使用由应用程序的 APP_KEY 签名的校验和来保护其状态。然而,CVE-2025-54068 漏洞允许攻击者完全绕过这一要求。

研究人员表示: “CVE-2025-54068 的发现进一步暴露了一个严重缺陷:可以通过更新机制走私合成器,完全绕过 APP_KEY 的需求。”

这意味着即使没有密钥,攻击者也可以注入恶意对象(特别是使用涉及 GuzzleHttp\Psr7\FnStream 和 destruct magic 方法的技术)来触发远程代码执行 (RCE)。

虽然 CVE-2025-54068 漏洞已在 3.6.4 及更高版本中修复,但仍然存在更严重的风险。研究表明,如果攻击者获取了 APP_KEY(由于数据泄露或默认值,这种情况很常见),则应用程序基本上无法抵御远程代码执行 (RCE)。

“需要 APP_KEY 的漏洞利用版本没有被修复,因为它利用了 Livewire 的设计方式……Livewire 团队没有将其视为安全问题”。

Synacktiv 认为这种立场低估了风险,并指出“拥有版本高于 3 的 Livewire 应用程序的 APP_KEY 意味着你可以完全攻破它”。

为了展示这些漏洞的严重性,Synacktiv发布了一款名为 Livepyre 的概念验证工具。该工具能够自动执行漏洞利用过程,包括检查漏洞和部署有效载荷。

报告证实:“我们开发了 Livepyre,这是一款可以简化有无 APP_KEY 漏洞利用的工具。”

请立即将 Livewire 升级到最新版本以修复 CVE-2025-54068 漏洞。然而,该报告最后还就该框架的架构提出了更广泛的警告。

“Livewire 的案例鲜明地提醒我们,当创新功能建立在宽松的类型定义和隐性信任之上时,它们可能会变成强大的攻击链。”

开发者们被敦促对组件属性强制执行严格的类型定义,并将 APP_KEY 视为皇冠上的明珠——因为如果它泄漏,任何补丁都无法挽救。

参考链接:

https://www.synacktiv.com/en/publications/livewire-remote-command-execution-through-unmarshaling

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:sec随谈 sec随谈《Livewire 的严重缺陷使 Laravel 应用易受隐蔽远程代码执行攻击,PoC 已发布》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0