Мы вскрываем схемы, пока их прячут
Image

Мы вскрываем схемы, пока их прячут

Подпишись на нас и смотри, как ломают системы и как это чинят, пока остальные делают вид, что все ок.

Доступ ко всему серверу в один клик. Уязвимость в Livewire Filemanager ставит под удар тысячи проектов

leer en español

Laravel Livewire Filemanager RCE уязвимость PHP
Доступ ко всему серверу в один клик. Уязвимость в Livewire Filemanager ставит под удар тысячи проектов
Laravel Livewire Filemanager RCE уязвимость PHP

В популярном файловом менеджере для PHP-фреймворка нашли способ обхода авторизации.

image

В популярном инструменте для Laravel внезапно обнаружилась уязвимость, которая фактически превращает загрузчик файлов в удаленный запуск произвольного кода. Речь идет о Livewire Filemanager. Ошибка позволяет атакующему без авторизации загрузить на сервер вредоносный PHP-файл и тут же выполнить его через обычный браузер.

Уязвимость получила идентификатор CVE-2025-14894 (оценка CVSS: 7.5) и затрагивает компонент LivewireFilemanagerComponent.php. Проблема в том, что модуль не проверяет тип и MIME загружаемых файлов. Формально разработчики Livewire Filemanager изначально считали фильтрацию расширений задачей самого пользователя, однако именно сочетание отсутствия проверки и стандартной конфигурации Laravel делает атаку максимально простой.

Во многих проектах на Laravel используется команда "php artisan storage:link", которая создает публичную ссылку на каталог storage/app/public, чтобы отдавать загруженные файлы через веб. В обычных условиях это удобно и безопасно, если загрузчик корректно ограничивает форматы. Но Livewire Filemanager позволяет отправить на сервер любой PHP-файл. После этого он становится доступен по URL в разделе /storage и может быть выполнен как скрипт.

Атакующему достаточно загрузить подготовленный файл и обратиться к нему через браузер, передав идентификатор пользователя в запросе. В результате код выполняется на сервере от имени веб-пользователя без какой-либо аутентификации. Это открывает полный доступ к файлам, возможность размещения бэкдоров и дальнейшего перемещения по инфраструктуре.

По оценке CERT/CC, последствия критические. Уязвимость дает удаленное выполнение кода и полный контроль в рамках прав веб-сервера. Через такой доступ злоумышленники могут закрепиться в системе, извлечь конфиденциальные данные или использовать сервер как точку для атак на соседние узлы.

На данный момент разработчики Livewire Filemanager проблему официально не подтвердили и исправление не выпустили. Специалисты рекомендуют администраторам проектов Laravel срочно проверить, используется ли Livewire Filemanager совместно с публичным хранилищем. Если команда создания симлинка уже выполнялась, лучше временно отключить веб-доступ к каталогу с загруженными файлами или полностью убрать Filemanager до появления исправления.