Kritische Livewire-Lücke erlaubt Remote Code Execution in Laravel-Anwendungen

Sicherheitsforscher haben eine schwerwiegende Schwachstelle im Laravel-Framework Livewire offengelegt. Über einen fehleranfälligen Unmarshalling- und Hydration-Mechanismus konnten Angreifer beliebigen PHP-Code auf dem Server ausführen. Die Lücke wurde unter CVE-2025-54068 registriert und betrifft Livewire v3 in großem Umfang.

Ursache ist die Art, wie Livewire Komponenten-Zustände aus Client-Anfragen rekonstruiert. Durch manipulierte Payloads lassen sich sogenannte Synthesizer einschleusen, die zur Instanziierung beliebiger PHP-Objekte führen. In Kombination mit PHP-Magic-Methods entsteht daraus eine vollständige Remote Command Execution. Besonders kritisch: Eine Variante des Angriffs funktioniert ohne Authentifizierung und ohne Kenntnis des geheimen APP_KEY.

Die Forscher zeigen, dass allein über das updates-Feld von Livewire-Anfragen Schadcode eingeschleust werden kann, da Typprüfungen und Kontextvalidierungen unzureichend waren. Betroffen sind potenziell zehntausende öffentlich erreichbare Anwendungen, darunter populäre Projekte wie Filament. Livewire wurde über 60 Millionen Mal heruntergeladen.

Die Livewire-Entwickler haben die APP_KEY-unabhängige Schwachstelle inzwischen behoben und empfehlen dringend ein Update auf Version 3.6.4 oder neuer. Angriffe, die einen bekannten oder geleakten APP_KEY voraussetzen, gelten hingegen weiterhin als Designproblem und bleiben ungepatcht – ein Risiko, da viele Laravel-Anwendungen mit unsicheren oder öffentlich bekannten APP_KEYs betrieben werden.

Related Posts

BSI legt umfassende Sicherheitsanalyse zu Passwortmanagern vor

Das BSI hat in einem neuen Bericht eine tiefgehende Sicherheitsbewertung von zehn gängigen Passwortmanagern veröffentlicht – darunter 1Password, KeePassXC, Chrome- und Firefox-Password-Manager sowie mehrere kommerzielle Anbieter. Die Analyse zeigt erhebliche Qualitätsunterschiede und teils kritische Schwächen im Markt. passwortmanager

Read More

Kritische Firebox-Lücke: WatchGuard warnt vor aktiven Angriffen auf IKEv2

WatchGuard hat mit WGSA-2025-00027 eine kritische Schwachstelle in Firebox-Appliances bestätigt. Die als CVE-2025-14733 geführte Out-of-Bounds-Write-Lücke im iked-Prozess von Fireware OS ermöglicht es Angreifern, ohne Authentifizierung aus der Ferne beliebigen Code auszuführen. Der CVSS-Score liegt bei 9,3, WatchGuard beobachtet bereits aktive Exploit-Versuche im Internet.

Read More

Apache HTTP Server: SSI-Schwachstelle CVE-2025-58098 ermöglicht Command-Ausführung

Der Apache HTTP Server war bis einschließlich Version 2.4.65 von einer gefährlichen Schwachstelle betroffen, die Server Side Includes (SSI) in Verbindung mit mod_cgid betrifft. Laut neu veröffentlichtem CVE-Eintrag (CVE-2025-58098) wird die shell-escapte Query-String an #exec cmd="..."-Direktiven weitergereicht – und öffnet so die Tür für das Ausführen beliebiger Befehle.

Read More