Интересно Доступ ко всему серверу в один клик. Уязвимость в Livewire Filemanager ставит под удар тысячи проектов.

Admin

Admin

Администратор

Доступ ко всему серверу в один клик. Уязвимость в Livewire Filemanager ставит под удар тысячи проектов.


1768854183736

В популярном файловом менеджере для PHP-фреймворка нашли способ обхода авторизации.


В популярном инструменте для Laravel внезапно обнаружилась уязвимость, которая фактически превращает загрузчик файлов в удаленный запуск произвольного кода. Речь идет о Livewire Filemanager. Ошибка позволяет атакующему без авторизации загрузить на сервер вредоносный PHP-файл и тут же выполнить его через обычный браузер.

Уязвимость получила идентификатор CVE-2025-14894 (оценка CVSS: 7.5) и затрагивает компонент LivewireFilemanagerComponent.php. Проблема в том, что модуль не проверяет тип и MIME загружаемых файлов. Формально разработчики Livewire Filemanager изначально считали фильтрацию расширений задачей самого пользователя, однако именно сочетание отсутствия проверки и стандартной конфигурации Laravel делает атаку максимально простой.

Во многих проектах на Laravel используется команда "php artisan storage:link", которая создает публичную ссылку на каталог storage/app/public, чтобы отдавать загруженные файлы через веб. В обычных условиях это удобно и безопасно, если загрузчик корректно ограничивает форматы. Но Livewire Filemanager позволяет отправить на сервер любой PHP-файл. После этого он становится доступен по URL в разделе /storage и может быть выполнен как скрипт.

Атакующему достаточно загрузить подготовленный файл и обратиться к нему через браузер, передав идентификатор пользователя в запросе. В результате код выполняется на сервере от имени веб-пользователя без какой-либо аутентификации. Это открывает полный доступ к файлам, возможность размещения бэкдоров и дальнейшего перемещения по инфраструктуре.

По оценке CERT/CC, последствия критические. Уязвимость дает удаленное выполнение кода и полный контроль в рамках прав веб-сервера. Через такой доступ злоумышленники могут закрепиться в системе, извлечь конфиденциальные данные или использовать сервер как точку для атак на соседние узлы.

На данный момент разработчики Livewire Filemanager проблему официально не подтвердили и исправление не выпустили. Специалисты рекомендуют администраторам проектов Laravel срочно проверить, используется ли Livewire Filemanager совместно с публичным хранилищем. Если команда создания симлинка уже выполнялась, лучше временно отключить веб-доступ к каталогу с загруженными файлами или полностью убрать Filemanager до появления исправления.
 
Для ответа нужно войти/зарегистрироваться
Похожие темы
Support81 Арендовал сервер — получил доступ ко всем. Российский эксперт нашел способ парализовать дата-центры, использующие Broadcom. Новости в сети 0
Support81 На коробке написано «VPN и защита», внутри — перехват куки, фальшивые DOM-элементы и доступ ко всем вкладкам браузера Новости в сети 0
Admin Интересно Хотите купить доступ к 50 компаниям? ФБР тоже захотело — и экстрадировало продавца из Грузии. Новости в сети 0
Admin Интересно Минус 95% веса и 0 уязвимостей: Docker открыл доступ к своим лучшим образам. Новости в сети 0
Admin Интересно 0 на VirusTotal и root-доступ: хакеры смогли обмануть все антивирусы с помощью легального софта для админов. Новости в сети 0
el_hacker Интересно Windows 11 заставит ИИ спрашивать доступ к личным файлам пользователя. Новости в сети 0
Support81 VPN объявили врагом во имя детей. США хотят запретить анонимный доступ к легальному контенту Новости в сети 0
Support81 К 2026 году анонимный доступ в интернет исчезнет во всех развитых странах мира Новости в сети 0
Support81 МВД требует срочных полномочий — банкам дадут три дня на ответ, а полиции — доступ к звонкам Новости в сети 0
turbion0 Мошенники получают доступ к банковским реквизитам через фейковые сайты. Новости в сети 0
Support81 0Day в Windows: доступ к конфиденциальным данным без единого клика Новости в сети 0
Support81 Ушёл создатель «Флибусты»: библиотека продолжит борьбу за свободный доступ к знаниям Новости в сети 1
Support81 Хакерская элита встревожена: XSS.is продаёт верифицированный доступ к материалам Новости в сети 0
turbion0 Мошенники представляются сотрудниками коммунальных служб, чтобы получить доступ к финансам. Новости в сети 0
Support81 Amazon, Google и Microsoft открыты для хакеров: ошибка Fluent Bit дает доступ к данным Новости в сети 0
Support81 Хакеры взломали ИИ: LLMjacking позволяет продавать доступ к мозгам машин Новости в сети 0
Support81 Хакеры сами устраняют уязвимость BIG-IP: борьба за эксклюзивный доступ к зараженным системам Новости в сети 0
Support81 Ivanti подарила китайским хакерам доступ к секретным данным США Новости в сети 0
V Помогите 50 магазинов доступ в битрикс как монетизировать? Свободное общение 1
eyegod Ожидает оплаты ✅Взлом/доступ мессенджеров,соц.сетей,почт,сайтов | Удаленный доступ | Очистка КИ/Информации из сети⚡ Ищу работу. Предлагаю свои услуги. 1
A Ожидает оплаты Доступ к страницам в социальных сетях Ищу работу. Предлагаю свои услуги. 1
turbion0 Интересно Полиция в России хочет получать доступ к личным данным пользователей в интернете до решения суда Новости в сети 1
Support81 Как взломать сайт за 5 минут: уязвимость в плагине Ultimate Member дает полный доступ к WordPress Новости в сети 0
K как получить доступ? как поставить лайк? Информация по работе форума 1
R Доступ к серверу больницы. Россия. Много данных. / Access to the russian medical server. Many data. Доступы: RDP, VPS, SQL inj, базы, сайты, shell's 1
L Получаем доступ к чужому крипто-кошельку blockchain.com , Atomic Wallet и MetaMask Уязвимости и взлом 6
B Доступ к Вконтакте Оплата после доказательств✅ Ищу работу. Предлагаю свои услуги. 1
E Хакеры имели доступ к электронной почте SolarWinds как минимум 9 месяцев Новости в сети 0
DOMINUS Неизвестные хакеры перехватили доступ над доменом Perl.com Новости в сети 1
RonyKing247 Доступ администратора / веб-оболочки к определенным базам данных. Доступы: RDP, VPS, SQL inj, базы, сайты, shell's 1
N Интересно есть доступ к спарку, Контур Фокусу Ищу работу. Предлагаю свои услуги. 0
E Интересно Получаем доступ к зашифрованным ZIP-файлам Полезные статьи 1
E Интересно Доступ к веб-камере при помощи Kali linux и CИ Уязвимости и взлом 5
andre5787 как получить доступ к удаленному роутеру через wifi Свободное общение 9
K Удаление негативной информации, отзывов, анкет, страниц, каналов, выдачи поисковиков, компромата, управление репутацией, доступ! Ищу работу. Предлагаю свои услуги. 0
C Получаем доступ к админке роутера и поднимаем VPN. Уязвимости и взлом 0
W [ВОПРОС] Как заразить сайт имея доступ к FTP Свободное общение 3
M Получаем доступ к удалённым сообщениям в WhatsApp Полезные статьи 0
andre5787 Что можно сделать когда есть доступ к удаленному роутеру? Свободное общение 5
Admin Получаем доступ к чужим майнерам, используя OSINT Уязвимости и взлом 4
H Как получить доступ к админке роутера? Свободное общение 3
andre5787 Как получить доступ к email или взлом удаленного компа Свободное общение 4
H можно ли получить доступ к чужому пк зная ip если да то как? Свободное общение 3
W Ключ API Shodan - Студенческая подписка | Платный доступ к Shodan Бесплатно Раздачи и сливы 10
X Продаю доступ на готовый сайт "фейк платёжной системы" Доступы: RDP, VPS, SQL inj, базы, сайты, shell's 0
D ☆ Лучшее обучение по заработку | Доступ в чат. ☆ Способы заработка 35
T Получаем доступ к FTP через стиллер Полезные статьи 0
АнАлЬнАя ЧуПаКаБрА MIX [ПЛАТНЫЕ] Доступ к облаку 482 GB (загружен) Раздачи и сливы 2
V [ПЛАТНЫЕ] Доступ к облаку 482 GB Раздачи и сливы 6
R Полный доступ к рабочему сайту Казино Раздачи и сливы 5

Название темы