Laravel web uygulamalarına gömülü, yaygın olarak kullanılan bir dosya yönetimi bileşeni olan Livewire Filemanager’da önemli bir güvenlik açığı keşfedildi.
CVE-2025-14894 olarak takip edilen ve VU#650657 güvenlik açığı notu atanan bu kusur, kimliği doğrulanmamış saldırganların güvenlik açığı bulunan sunucularda rastgele kod yürütmesine olanak tanıyor.
Güvenlik açığı, LivewireFilemanagerComponent.php bileşenindeki hatalı dosya doğrulamasından kaynaklanıyor.
Araç, yeterli dosya türünü ve MIME doğrulamasını zorunlu kılmada başarısız oluyor ve saldırganların kötü amaçlı PHP dosyalarını doğrudan web arayüzü üzerinden yüklemesine olanak tanıyor.
| CVE Kimliği | Takip Kimliği | Yayın Tarihi | Şiddet |
|---|---|---|---|
| CVE-2025-14894 | VU#650657 | 16 Ocak 2026 | Yüksek |
Bu dosyalar bir kez yüklendikten sonra, standart Laravel kurulum işlemi sırasında php artisan Storage: link komutunun yürütülmesi koşuluyla, genel olarak erişilebilen /storage/ dizini aracılığıyla yürütülebilir.
Satıcı, güvenlik belgelerinde dosya türü doğrulamasını kasıtlı olarak kapsam dışı olarak işaretleyerek doğrulama sorumluluğunu geliştiricilere yüklüyor.
Ancak kritik sorun, yüklenen dosyaları ek güvenlik önlemleri olmadan doğrudan yürütmeye sunan aracın mimarisinde yatmaktadır.
Başarılı bir şekilde yararlanma, saldırganlara web sunucusu kullanıcısının ayrıcalıklarıyla uzaktan kod yürütme (RCE) sağlar.
Bu, web sunucusu işlemi tarafından erişilebilen tüm dosyalara sınırsız dosya okuma ve yazma erişimi de dahil olmak üzere kapsamlı sistem güvenliğinin ihlal edilmesine olanak tanır. Saldırganlar daha sonra bağlı sistemleri ve altyapıyı tehlikeye atabilir.
Saldırı, kimlik doğrulama gerektirmiyor ve Livewire Filemanager’ın yükleme arayüzü aracılığıyla uygulamaya bir PHP web kabuğu yükleyerek ve ardından dosyaya depolama URL’si aracılığıyla erişerek yürütmeyi tetikleyerek uzaktan yürütülebiliyor.
Etkilenen Platformlar ve Durum
Açıklama sırasında satıcılar bu güvenlik açığını kabul etmemişti.
| Varlık | Durum |
|---|---|
| Arı Etkileşimli | Bilinmiyor |
| Laravel | Bilinmiyor |
| Laravel İsviçre | Bilinmiyor |
CERT/CC, php artisan depolama: bağlantısının yürütülüp yürütülmediğini doğrulamak ve onaylanırsa web sunma özelliğini kaldırmak da dahil olmak üzere acil koruyucu önlemler önerir.
Livewire Filemanager’ı kullanan kuruluşlar, Livewire’ın işlevselliğinden bağımsız olarak uygulama düzeyinde dosya yükleme kısıtlamalarını derhal uygulamalıdır.
Yüklemeleri güvenli dosya türleriyle sınırlayan katı izin verilenler listesi politikaları uygulamayı düşünün ve kapsamlı MIME türü doğrulaması uygulayın.
Yüklenen dosyaları web’den erişilebilen dizinin dışında saklamak. İşlemler için web hizmeti gereksizse genel depolama bağlantısını kapatın.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
