Livewire یک چارچوب جامع سمت کلاینت و سرور برای Laravel است که امکان توسعه رابطهای پویا و واکنشگرا را بدون نیاز به جاوااسکریپت مستقیم فراهم میکند.
اخیراً یک آسیبپذیری بحرانی با شناسهی CVE-2025-54068 در نسخههای خاصی از Livewire v3 به شدت 9.2 شناسایی شده است که میتواند با توجه به گستردگی استفاده این چارچوب جامع، تهدیدی جدی برای امنیت سرورها و دادههای کاربران محسوب گردد.
جزئیات آسیبپذیری
این آسیبپذیری به نحوه پیادهسازی فرآیند بهروزرسانی دادهها در برخی مولفههای Livewire مربوط میشود.
در صورت پیکربندی نادرست مولفهها و فعالسازی اولیه آنها در قالب مشخص، مهاجم میتواند از این نقص برای دستکاری وضعیت برنامه و اجرای دستورات استفاده کند.
اگرچه بهرهبرداری از این آسیبپذیری به دانش و شرایط خاصی نیاز دارد، اما در صورت موفقیت، تأثیر بالایی روی دسترسی، محرمانگی و کنترل کامل سیستم دارد.
بردار زیر نشان میدهد که بهرهبرداری از آسیبپذیری میتواند از راه دور و بدون نیاز به دسترسی قبلی یا تعامل کاربر صورت گیرد. با وجود نیاز به شرایط خاص در نحوه پیکربندی مولفهها، پیامدهای بهرهبرداری بسیار شدید است و به مهاجم این امکان را میدهد که محرمانگی و یکپارچگی اطلاعات را نقض کرده و بهطور کامل کنترل سرور را در دست بگیرد:
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
نسخهها تحت تإثیر
این نقص امنیتی تمامی نسخههای سری سوم Livewire تا و از جمله نسخهی 3.6.3 را تحت تأثیر قرار میدهد.
توصیههای امنیتی
-
بروزرسانی به نسخهی امن 3.6.4 Livewire
منابع خبر:
[1]https://www.cvedetails.com/cve/CVE-2025-54068
[2]https://nvd.nist.gov/vuln/detail/CVE-2025-54068
- 11