检测

Livewire 3.x < 3.6.4 远程代码执行

critical Web App Scanning 插件 ID 115113

语言:

简介

Livewire 3.x < 3.6.4 远程代码执行

描述

Livewire 是适用于 Laravel 的全堆栈框架,可简化动态界面构建过程,同时让您无需离开 Laravel 环境。

3.6.4 之前的 Livewire 版本中存在一个远程代码执行漏洞,这是在组件 Hydration 进程中不当处理序列化数据所致。攻击者可通过向服务器发送包含恶意序列化数据的特制请求来利用此漏洞。随后,系统会反序列化并执行此请求,从而允许攻击者在服务器上执行任意代码。

注意: 根据识别到的 Livewire 版本,如果该插件使用版本 3.6.3 (有漏洞) 或 3.6.4 (已修补),则表示该网站**可能**存在漏洞。

解决方案

升级至 Livewire 3.6.4 或更高版本。

另见

https://github.com/livewire/livewire/commit/ef04be759da41b14d2d129e670533180a44987dc

https://github.com/livewire/livewire/releases/tag/v3.6.4

https://github.com/livewire/livewire/security/advisories/GHSA-29cq-5w36-x7w3

https://www.synacktiv.com/en/publications/livewire-remote-command-execution-through-unmarshaling

插件详情

严重性: Critical

ID: 115113

类型: remote

发布时间: 2026/1/15

最近更新时间: 2026/1/19

扫描模板: basic, full, pci, scan

风险信息

VPR

风险因素: Critical

分数: 9.4

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2025-54068

CVSS v3

风险因素: Critical

基本分数: 9.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 分数来源: CVE-2025-54068

CVSS v4

风险因素: Critical

Base Score: 9.2

Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVSS 分数来源: CVE-2025-54068

漏洞信息

CPE: cpe:2.3:a:laravel:livewire:*:*:*:*:*:*:*:*

可利用: true

易利用性: Exploits are available

补丁发布日期: 2025/7/17

漏洞发布日期: 2025/7/16

参考资料信息

CVE: CVE-2025-54068