一、 漏洞 CVE-2025-14894 基础信息
漏洞信息
# Linux内核内存泄漏漏洞
## 概述
Livewire Filemanager 组件(LivewireFilemanagerComponent.php)在处理文件上传时缺乏文件类型和 MIME 类型验证,导致攻击者可上传恶意 PHP 文件。
## 影响版本
未明确指定具体版本,涉及使用 Livewire Filemanager 的 Laravel 应用。
## 细节
LivewireFilemanagerComponent.php 未对上传文件的类型和 MIME 类型进行有效验证。攻击者可借此上传 PHP 恶意脚本文件。若 Laravel 应用已完成将 `/storage/app/public` 链接到 `/public/storage` 的常见配置,则上传的文件可通过 `/storage/` URL 被直接访问并执行。
## 影响
成功利用该漏洞可导致远程代码执行(RCE),攻击者可在服务器上执行任意命令,完全控制受影响的应用系统。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
CVE-2025-14894
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Livewire Filemanager, commonly used in Laravel applications, contains LivewireFilemanagerComponent.php, which does not perform file type and MIME validation, allowing for RCE through upload of a malicious php file that can then be executed via the /storage/ URL if a commonly performed setup process within Laravel applications has been completed.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-14894 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-14894 的情报信息
标题: GitHub - livewire-filemanager/filemanager: A simple, friendly and practical Livewire filemanager for your applications -- 🔗来源链接
标签:
神龙速读:### 漏洞关键信息 #### 重要信息 - **缺少安全性保护**:文件管理器中没有任何内置的安全措施来保护上传的文件。管理员需要自行控制文件的访问和安全性,以防止潜在的安全风险。 - **使用时的警告**:该包目前仍在开发中,其结构可能在稳定版本发布之前发生更改。因此,应在项目中谨慎使用。 #### 安全性提示 - **安全责任**:安全责任在于管理员,需要管理员控制文件访问以确保文件和文件夹的安全。 #### 安装和配置时的注意事项 - **安装建议**:由于其仍在开发中,为了项目安全和稳定,建议在决定使用前进行充分的测试和评估。 - **配置要求**:需要依赖`spatie/laravel-medialibrary`来处理媒体文件,并且需要正确配置其依赖项和权限设置,以确保文件管理和上传的安全性。
标题: Unauthenticated RCE in Livewire Filemanager -- 🔗来源链接
标签:
神龙速读:从网页截图中可以获取到以下关键信息: - **漏洞名称**:Unauthenticated RCE in Livewire Filemanager - **漏洞类型**:未认证远程代码执行(RCE) - **发布日期**:1月8日 - **状态**:TBD(待定,可能表示详细信息或分析报告尚未完成) 此外,还展示了其他最近发布的漏洞报告,涉及CVE编号和具体的产品或项目,如防火墙、VPN等,显示了该站点专门关注网络安全和漏洞研究。
- https://nvd.nist.gov/vuln/detail/CVE-2025-14894
四、漏洞 CVE-2025-14894 的评论
暂无评论