Интересно Доступ ко всему серверу в один клик. Уязвимость в Livewire Filemanager ставит под удар тысячи проектов.

Admin

Admin

Администратор

Доступ ко всему серверу в один клик. Уязвимость в Livewire Filemanager ставит под удар тысячи проектов.


1768854183736

В популярном файловом менеджере для PHP-фреймворка нашли способ обхода авторизации.


В популярном инструменте для Laravel внезапно обнаружилась уязвимость, которая фактически превращает загрузчик файлов в удаленный запуск произвольного кода. Речь идет о Livewire Filemanager. Ошибка позволяет атакующему без авторизации загрузить на сервер вредоносный PHP-файл и тут же выполнить его через обычный браузер.

Уязвимость получила идентификатор CVE-2025-14894 (оценка CVSS: 7.5) и затрагивает компонент LivewireFilemanagerComponent.php. Проблема в том, что модуль не проверяет тип и MIME загружаемых файлов. Формально разработчики Livewire Filemanager изначально считали фильтрацию расширений задачей самого пользователя, однако именно сочетание отсутствия проверки и стандартной конфигурации Laravel делает атаку максимально простой.

Во многих проектах на Laravel используется команда "php artisan storage:link", которая создает публичную ссылку на каталог storage/app/public, чтобы отдавать загруженные файлы через веб. В обычных условиях это удобно и безопасно, если загрузчик корректно ограничивает форматы. Но Livewire Filemanager позволяет отправить на сервер любой PHP-файл. После этого он становится доступен по URL в разделе /storage и может быть выполнен как скрипт.

Атакующему достаточно загрузить подготовленный файл и обратиться к нему через браузер, передав идентификатор пользователя в запросе. В результате код выполняется на сервере от имени веб-пользователя без какой-либо аутентификации. Это открывает полный доступ к файлам, возможность размещения бэкдоров и дальнейшего перемещения по инфраструктуре.

По оценке CERT/CC, последствия критические. Уязвимость дает удаленное выполнение кода и полный контроль в рамках прав веб-сервера. Через такой доступ злоумышленники могут закрепиться в системе, извлечь конфиденциальные данные или использовать сервер как точку для атак на соседние узлы.

На данный момент разработчики Livewire Filemanager проблему официально не подтвердили и исправление не выпустили. Специалисты рекомендуют администраторам проектов Laravel срочно проверить, используется ли Livewire Filemanager совместно с публичным хранилищем. Если команда создания симлинка уже выполнялась, лучше временно отключить веб-доступ к каталогу с загруженными файлами или полностью убрать Filemanager до появления исправления.
 
Для ответа нужно войти/зарегистрироваться
Похожие темы
Support81 Арендовал сервер — получил доступ ко всем. Российский эксперт нашел способ парализовать дата-центры, использующие Broadcom. Новости в сети 0
Support81 На коробке написано «VPN и защита», внутри — перехват куки, фальшивые DOM-элементы и доступ ко всем вкладкам браузера Новости в сети 0
Admin Интересно Anthropic расширяет доступ к своей системе Mythos AI для 200 организаций. Новости в сети 0
Admin Интересно Nightmare-Eclipse продолжает борьбу с Microsoft, но теряет доступ к GitLab. Новости в сети 0
Admin Интересно SpaceX повысила цены на доступ к Starlink для военных дронов во время войны с Ираном. Новости в сети 0
Admin Интересно Иран вернёт гражданам доступ к международному интернету после 87 дней ограничений. Новости в сети 0
Admin Интересно Александр Дугин предложил выдавать доступ к интернету за хорошее поведение. Новости в сети 0
Admin Интересно Сотрудник ушёл, а доступ остался. Как забытая учётка открыла хакерам путь к водоснабжению целого города. Новости в сети 0
Admin Интересно Эксплойт PinTheft позволяет получить root-доступ в Arch Linux. Новости в сети 0
Admin Интересно Все жители Мальты получат бесплатный доступ к ChatGPT Plus. Новости в сети 0
Admin Интересно Новая уязвимость Fragnesia в ядре Linux позволяет получить root-доступ через повреждение кэша страниц. Новости в сети 0
Admin Интересно OpenAI предоставляет европейским компаниям доступ к своим мощным моделям ИИ для поиска уязвимостей. Новости в сети 0
Admin Интересно Уязвимость в Ollama позволяет удалённо получать доступ к памяти процесса. Новости в сети 0
Admin Интересно У подрядчика Пентагона обнаружена уязвимость в API, которая открывала доступ к данным военнослужащих. Новости в сети 0
Admin Интересно Минцифры согласовывает доступ к «белому списку» сайтов в период отключений мобильного интернета. Новости в сети 0
Admin Интересно Просто безобидный ярлык. Одно нажатие открывает хакерам доступ к авиационным системам. Новости в сети 0
Admin Интересно Пароль больше не нужен. В cPanel нашли дыру, которая открывает доступ к любому серверу. Новости в сети 0
Admin Интересно Обнаружена уязвимость Copy Fail в Linux, позволяющая получить root-доступ. Новости в сети 0
Admin Интересно Meta рискует получить многомиллиардный штраф за доступ несовершеннолетних в Instagram и Facebook. Новости в сети 0
Admin Интересно Несанкционированный доступ к мощной модели Mythos компании Anthropic. Новости в сети 0
Admin Интересно Иранские хакеры взломали подрядчика израильской армии и получили доступ к данным о военных операциях. Новости в сети 0
Admin Интересно GitHub заблокировал доступ к сети проектов из-за утечки кода Anthropic. Новости в сети 0
Admin Интересно Операторы связи открыли доступ к персональным данным абонентов. Новости в сети 0
Admin Интересно ChatGPT обнаружил уязвимость в корпоративной сети и получил доступ к сотням документов. Новости в сети 0
Admin Интересно Откройте доступ к коду из любой точки мира. Как работает новый проект rustunnel. Новости в сети 0
Admin Интересно Австрия планирует запретить доступ к соцсетям для детей младше 14 лет. Новости в сети 0
Admin Интересно Исследователи обнаружили сотни открытых API-ключей, предоставляющих доступ к AWS, GitHub, Stripe и OpenAI. Новости в сети 0
Admin Интересно ФНС получит доступ к данным о переводах между гражданами без проверок. Новости в сети 0
Admin Интересно Обнаружены критические уязвимости в IP KVM устройствах, позволяющие получить доступ к системе. Новости в сети 0
Admin Интересно Власти закрыли киберпреступный сервис, продававший доступ к 369 тысячам домашних интернет-соединений. Новости в сети 0
Admin Интересно Уязвимость в Chrome позволяла вредоносным расширениям получать доступ к файлам через Gemini. Новости в сети 0
Admin Интересно Хотите купить доступ к 50 компаниям? ФБР тоже захотело — и экстрадировало продавца из Грузии. Новости в сети 0
Admin Интересно Минус 95% веса и 0 уязвимостей: Docker открыл доступ к своим лучшим образам. Новости в сети 0
Admin Интересно 0 на VirusTotal и root-доступ: хакеры смогли обмануть все антивирусы с помощью легального софта для админов. Новости в сети 0
el_hacker Интересно Windows 11 заставит ИИ спрашивать доступ к личным файлам пользователя. Новости в сети 0
Support81 VPN объявили врагом во имя детей. США хотят запретить анонимный доступ к легальному контенту Новости в сети 0
Support81 К 2026 году анонимный доступ в интернет исчезнет во всех развитых странах мира Новости в сети 0
Support81 МВД требует срочных полномочий — банкам дадут три дня на ответ, а полиции — доступ к звонкам Новости в сети 0
turbion0 Мошенники получают доступ к банковским реквизитам через фейковые сайты. Новости в сети 0
Support81 0Day в Windows: доступ к конфиденциальным данным без единого клика Новости в сети 0
Support81 Ушёл создатель «Флибусты»: библиотека продолжит борьбу за свободный доступ к знаниям Новости в сети 1
Support81 Хакерская элита встревожена: XSS.is продаёт верифицированный доступ к материалам Новости в сети 0
turbion0 Мошенники представляются сотрудниками коммунальных служб, чтобы получить доступ к финансам. Новости в сети 0
Support81 Amazon, Google и Microsoft открыты для хакеров: ошибка Fluent Bit дает доступ к данным Новости в сети 0
Support81 Хакеры взломали ИИ: LLMjacking позволяет продавать доступ к мозгам машин Новости в сети 0
Support81 Хакеры сами устраняют уязвимость BIG-IP: борьба за эксклюзивный доступ к зараженным системам Новости в сети 0
Support81 Ivanti подарила китайским хакерам доступ к секретным данным США Новости в сети 0
V Помогите 50 магазинов доступ в битрикс как монетизировать? Свободное общение 1
eyegod Ожидает оплаты ✅Взлом/доступ мессенджеров,соц.сетей,почт,сайтов | Удаленный доступ | Очистка КИ/Информации из сети⚡ Ищу работу. Предлагаю свои услуги. 1
A Ожидает оплаты Доступ к страницам в социальных сетях Ищу работу. Предлагаю свои услуги. 1

Название темы