CVE-2025-54068
CriticalSummary
Livewire to pełnostackowy framework dla Laravel. W wersjach Livewire v3 do v3.6.3 występuje podatność, która pozwala nieautoryzowanym atakującym na zdalne wykonanie poleceń w określonych scenariuszach, związana z aktualizacjami właściwości komponentów.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonanie poleceń bez potrzeby autoryzacji czy interakcji użytkownika.
Recommendation
Zaleca się jak najszybsze zaktualizowanie Livewire do wersji 3.6.4 lub nowszej, aby usunąć tę podatność. Nie ma znanych obejść dla tego problemu.
Original NVD description (English source)
Livewire is a full-stack framework for Laravel. In Livewire v3 up to and including v3.6.3, a vulnerability allows unauthenticated attackers to achieve remote command execution in specific scenarios. The issue stems from how certain component property updates are hydrated. This vulnerability is unique to Livewire v3 and does not affect prior major versions. Exploitation requires a component to be mounted and configured in a particular way, but does not require authentication or user interaction. This issue has been patched in Livewire v3.6.4. All users are strongly encouraged to upgrade to this version or later as soon as possible. No known workarounds are available.

