LiveWire Güvenlik Açığı, milyonlarca Laravel uygulamasını uzaktan kod yürütme saldırılarına maruz bırakıyor


LiveWire Güvenlik Açığı

Laravel’in LiveWire çerçevesinde, milyonlarca web uygulamasını uzaktan kod yürütme (RCE) saldırılarına maruz bırakabilecek kritik bir güvenlik açığı keşfedilmiştir.

CVE-2025-54068 olarak adlandırılan kusur, CVSS V4 skoru ile 3.0.0-beta.1’den 3.6.3’ten LiveWire V3 sürümlerini etkilemektedir.

Güvenlik açığı, hidrasyon işlemleri sırasında bileşen özellik güncellemelerinin yanlış kullanılmasından kaynaklanır ve sömürü için kimlik doğrulama veya kullanıcı etkileşimi gerektirmez.

Google Haberleri

Key Takeaways
1. Livewire v3 RCE flaw allows unauthenticated remote attacks (CVE-2025-54068).
2. Versions 3.0.0-beta.1 to 3.6.3 affected.
3. Upgrade to v3.6.4 immediately - no workaround available.

LiveWire V3 Uzaktan Kod Yürütme Güvenlik Açığı

Güvenlik kusuru, özellikle Sunucu tarafındaki bileşen durum değişikliklerini işleyen LiveWire V3’ün özellik güncelleme hidrasyon mekanizmasında bulunur.

Çerçevenin önceki sürümlerinden farklı olarak, bu güvenlik açığı V3’e özgüdür ve kimlik doğrulanmamış saldırganların ağ tabanlı saldırılar yoluyla uzaktan komut yürütme elde etmesini sağlar.

Saldırı karmaşıklığı yüksek olarak derecelendirilir, yani sömürü belirli bileşen konfigürasyonları gerektirir, ancak eleştirel olarak başarılı saldırılar için ayrıcalıklar veya kullanıcı etkileşimi gerekmez.

Güvenlik açığının saldırı vektör sınıflandırması, “Saldırı Gereksinimleri: Yok” ile “Ağ” olarak sınıflandırması, kötü amaçlı aktörlerin yerel erişim veya özel koşullar gerektirmeden savunmasız uygulamaları uzaktan kullanabileceğini göstermektedir.

Bu, etkilenen LiveWire sürümlerini kullanan internete bakan Laravel uygulamaları için güvenlik açığını özellikle tehlikeli hale getirir.

Güvenlik araştırmacıları, bu güvenlik açığını kritik olarak sınıflandırdılar, CVSS V4 temel metrikleri, savunmasız sistemlerin gizliliği, bütünlüğü ve mevcudiyeti için maksimum etki puanları gösteriyor.

Güvenlik açığı, 3.0.0-beta.1 ila 3.6.3 sürümlerini çalıştıran tüm LiveWire kurulumlarını etkiler ve potansiyel olarak yeni V3 çerçevesini benimseyen binlerce Laravel uygulamasını etkilemektedir.

Sömürü senaryosu, bileşenlerin “belirli bir şekilde monte edilmesini ve yapılandırılmasını” gerektirir, bu da tüm LiveWire V3 kurulumlarının savunmasız olmasa da, belirli koşulları karşılayanların derhal tam sistem uzlaşma riski ile karşı karşıya olduğunu düşündürmektedir.

Yüksek kullanılabilirlik etkisi puanı, başarılı sömürünün sistemin bozulmasına veya hizmet koşullarının reddedilmesine neden olabileceğini göstermektedir.

Risk faktörleri Detaylar
Etkilenen ürünler LiveWire/LiveWire (Besteci Paketi) Sürümler: 3.0.0-beta.1 ila 3.6.3
Darbe Uzak Kod Yürütme (RCE)
Önkoşuldan istismar – Bileşen belirli bir şekilde monte edilmeli ve yapılandırılmalıdır- kimlik doğrulama gerekmez- Kullanıcı etkileşimi gerekmez- ağ tabanlı saldırı vektörü- yüksek saldırı karmaşıklığı
CVSS Puanı 9.2 (kritik)

Hafifletme

LiveWire, bu kritik güvenlik açığını ele almak için 3.6.4 sürümünü yayınladı ve tüm kullanıcılar hemen yükseltmeye teşvik edildi.

Şu anda, bu güvenlik kusuru için hiçbir geçici çözüm yoktur, bu da Yama güncellemesini tek geçerli azaltma stratejisi haline getirir.

Geliştirme ekibi, satılmamış sistemlerin yaygın olarak kullanılmasını önlemek için sorumlu bir açıklama penceresinin ardından ayrıntılı teknik bilgilerin yayınlanacağını belirtmiştir.

Etkilenen LiveWire sürümlerini yürüten kuruluşlar, güvenlik açığının kime doğrulanmamış uzaktan kod yürütme potansiyeli ve kritik CVSS derecesi göz önüne alındığında, acil durum yama yönetimi prosedürlerinin bir parçası olarak bu güncellemeye öncelik vermelidir.

Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi



Source link