Livewire vulnerable to remote command execution during property update hydration 漏洞信息(CVE-2025-54068)

一、漏洞 CVE-2025-54068 基础信息

漏洞信息

                                        # Livewire 在属性更新.hydrate期间易受远程命令执行攻击

## 概述
Livewire 是一个全栈框架，用于 Laravel。在 Livewire v3 到 v3.6.3 版本中，存在一个漏洞，允许未经过身份验证的攻击者在特定情况下执行远程命令。该漏洞源于某些组件属性更新的初始化方式。

## 影响版本
- Livewire v3.0.0 至 v3.6.3

## 细节
漏洞来源于特定组件属性更新的初始化方式。利用该漏洞需要在特定配置下挂载组件，但不需要身份验证或用户交互。该漏洞仅影响 Livewire v3 系列，不涉及之前的主要版本。

## 影响
- 允许未认证攻击者执行远程命令。
- 已在 Livewire v3.6.4 中修复，强烈建议用户尽快升级到此版本或更高版本。
- 目前没有已知的缓解措施。

神龙判断

是否为 Web 类漏洞： 是

判断理由：

是。这个漏洞影响了Livewire v3版本，特别是v3.6.3及之前版本，允许未经过身份验证的攻击者在特定情况下实现远程命令执行。这个漏洞是由于某些组件属性更新的方式存在缺陷造成的。此漏洞需要组件以特定方式安装和配置，但不需要用户交互或身份验证即可利用。此问题已在Livewire v3.6.4中修复，建议所有用户尽快升级到此版本或更高版本。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Livewire vulnerable to remote command execution during property update hydration

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Livewire is a full-stack framework for Laravel. In Livewire v3 up to and including v3.6.3, a vulnerability allows unauthenticated attackers to achieve remote command execution in specific scenarios. The issue stems from how certain component property updates are hydrated. This vulnerability is unique to Livewire v3 and does not affect prior major versions. Exploitation requires a component to be mounted and configured in a particular way, but does not require authentication or user interaction. This issue has been patched in Livewire v3.6.4. All users are strongly encouraged to upgrade to this version or later as soon as possible. No known workarounds are available.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

对生成代码的控制不恰当(代码注入)

来源：美国国家漏洞数据库 NVD

漏洞标题

Livewire 代码注入漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Livewire是Livewire开源的一个 Laravel 的全栈框架，允许您在不离开 PHP 的情况下构建动态 UI 组件。 Livewire 3.6.3及之前版本存在代码注入漏洞，该漏洞源于组件属性更新处理不当，可能导致远程命令执行。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

代码注入

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-54068 的公开POC

#	POC 描述	源链接	神龙链接
1	A tool designed to exploit CVE-2025-54068 and Remote Command Execution if the APP_KEY of the Livewire project is known.	https://github.com/synacktiv/Livepyre	POC详情
2		https://github.com/vulhub/vulhub/blob/master/livewire/CVE-2025-54068/README.md	POC详情
3	Fast Python scanner detects vulnerable Laravel Livewire v3 sites (CVE-2025-54068, CVSS 9.2). Separates risky sites into vuln.txt, safe sites into safe.txt.	https://github.com/z0d131482700x/Livewire2025CVE	POC详情
4	None	https://github.com/flame-11/CVE-2025-54068-livewire	POC详情
5	None	https://github.com/Threekiii/Awesome-POC/blob/master/%E5%BC%80%E5%8F%91%E6%A1%86%E6%9E%B6%E6%BC%8F%E6%B4%9E/Livewire%20%E7%BB%84%E4%BB%B6%E5%B1%9E%E6%80%A7%20hydrate%20%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%20CVE-2025-54068.md	POC详情

三、漏洞 CVE-2025-54068 的情报信息

标题： Release v3.6.4 · livewire/livewire · GitHub -- 🔗来源链接

标签：x_refsource_MISC

神龙速读：

                                        从这个网页截图中，可以获取到以下关于漏洞的关键信息：

- **版本信息**：当前显示的是 v3.6.4 版本，这是最新发布的版本。
- **发布时间**：该版本由 @joshhanley 于2天前发布。
- **变更内容**：在 "What's Changed" 部分提到修复了属性更新水合问题（Fix property update hydration）。
- **贡献者**：@joshhanley 是此次发布的贡献者。
- **资产**：有2个资产文件可供下载。

这些信息可以帮助开发者了解最新的安全修复和功能改进，从而及时更新以避免潜在的漏洞风险。

Release v3.6.4 · livewire/livewire · GitHub

标题： Livewire remote command execution during property update hydration · Advisory · livewire/livewire · GitHub -- 🔗来源链接

标签：x_refsource_CONFIRM

神龙速读：

                                        ### 关键漏洞信息

#### 漏洞概述
- **标题**: Livewire remote command execution during property update hydration
- **严重性**: Critical (9.2/10)
- **CVE ID**: CVE-2025-54068

#### 影响范围
- **受影响版本**: >= 3.0.0-beta.1, < 3.6.3
- **修复版本**: >= 3.6.4

#### 描述
- **影响**: 在Livewire v3（<= 3.6.3）中，存在一个漏洞允许未授权攻击者在特定场景下实现远程命令执行。该问题源于某些组件属性更新的水合方式。此漏洞仅影响Livewire v3，不影响之前的主版本。利用此漏洞需要组件以特定方式安装和配置，但不需要身份验证或用户交互。

#### 修复措施
- **补丁**: 该问题已在Livewire v3.6.4中修复。强烈建议所有用户尽快升级到此版本或更高版本。
- **变通方法**: 目前没有已知的变通方法。强烈建议用户立即升级到已修复的版本。

#### CVSS v4 基础指标
- **可利用性指标**
  - 攻击向量: Network
  - 攻击复杂度: High
  - 攻击需求: None
  - 所需权限: None
  - 用户交互: None
- **脆弱系统影响指标**
  - 机密性: High
  - 完整性: High
  - 可用性: High
- **后续系统影响指标**
  - 机密性: None
  - 完整性: None
  - 可用性: None

#### 弱点
- **CWE**: No CWEs

#### 参考资料
- **公开参考资料**: 目前没有公开参考资料以避免暴露。详细信息将在负责任的披露窗口后发布。

Livewire remote command execution during property update hydration · Advisory · livewire/livewire · GitHub

标题： Fix property update hydration · livewire/livewire@ef04be7 · GitHub -- 🔗来源链接

标签：x_refsource_MISC

神龙速读：

                                        从这个网页截图中，可以获取到以下关于漏洞的关键信息：

- **提交信息**：Commit ef04be7，标题为“Fix property update hydration”，由joshhanley在2天前提交。
- **文件更改**：修改了`src/Mechanisms/HandleComponents/HandleComponents.php`文件，共19行新增，1行删除。
- **关键代码更改**：
  - 新增了一个名为`hydratePropertyUpdate`的保护函数，用于处理属性更新的水合过程。
  - 在`hydrateForUpdate`函数中，将调用`$this->hydrate($value, $meta, $context, $path);`替换为`$this->hydratePropertyUpdate($value, $meta, $context, $path, $raw);`。
- **潜在问题**：代码审查中提到需要保持一致性并添加括号，这可能暗示代码风格或格式问题，但未直接指出安全漏洞。

这些信息表明，该提交主要修复了与属性更新水合相关的功能，但并未明确显示存在具体的安全漏洞。

Fix property update hydration · livewire/livewire@ef04be7 · GitHub

https://nvd.nist.gov/vuln/detail/CVE-2025-54068

四、漏洞 CVE-2025-54068 的评论

暂无评论

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2025-54068 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-54068 的公开POC

三、漏洞 CVE-2025-54068 的情报信息

四、漏洞 CVE-2025-54068 的评论

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2025-54068 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-54068 的公开POC

三、漏洞 CVE-2025-54068 的情报信息

四、漏洞 CVE-2025-54068 的评论

发表评论

一、漏洞 CVE-2025-54068 基础信息