Sicherheitsforscher haben eine schwerwiegende Schwachstelle im Laravel-Framework Livewire offengelegt. Über einen fehleranfälligen Unmarshalling- und Hydration-Mechanismus konnten Angreifer beliebigen PHP-Code auf dem Server ausführen. Die Lücke wurde unter CVE-2025-54068 registriert und betrifft Livewire v3 in großem Umfang.
Ursache ist die Art, wie Livewire Komponenten-Zustände aus Client-Anfragen rekonstruiert. Durch manipulierte Payloads lassen sich sogenannte Synthesizer einschleusen, die zur Instanziierung beliebiger PHP-Objekte führen. In Kombination mit PHP-Magic-Methods entsteht daraus eine vollständige Remote Command Execution. Besonders kritisch: Eine Variante des Angriffs funktioniert ohne Authentifizierung und ohne Kenntnis des geheimen APP_KEY.
Die Forscher zeigen, dass allein über das updates-Feld von Livewire-Anfragen Schadcode eingeschleust werden kann, da Typprüfungen und Kontextvalidierungen unzureichend waren. Betroffen sind potenziell zehntausende öffentlich erreichbare Anwendungen, darunter populäre Projekte wie Filament. Livewire wurde über 60 Millionen Mal heruntergeladen.
Die Livewire-Entwickler haben die APP_KEY-unabhängige Schwachstelle inzwischen behoben und empfehlen dringend ein Update auf Version 3.6.4 oder neuer. Angriffe, die einen bekannten oder geleakten APP_KEY voraussetzen, gelten hingegen weiterhin als Designproblem und bleiben ungepatcht – ein Risiko, da viele Laravel-Anwendungen mit unsicheren oder öffentlich bekannten APP_KEYs betrieben werden.
