「Livewire」にRCE脆弱性 - すみやかにアップデートを
「Laravel」の機能を拡張するウェブ開発フレームワーク「Livewire 3」にリモートよりコマンドの実行が可能となる脆弱性が明らかとなった。アップデートが推奨されている。
「同3.6.3」および以前のバージョンにおいて、特定条件下で認証なしにリモートより任意のコマンドが実行できる脆弱性「CVE-2025-54068」が明らかとなったもの。
プロパティ更新にともなう内部処理の不備により生じる脆弱性で、対象のコンポーネントがマウントされている場合に影響を受ける。
CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv4.0」のベーススコアを「9.2」、重要度を4段階中、もっとも高い「クリティカル(Critical)」とレーティングした。「Livewire 3」のみ影響があり、「同2」など旧バージョンは影響を受けないという。
開発グループでは、現地時間2025年7月17日に脆弱性を修正した「同3.6.4」をリリース。回避策などはなく、利用者に対してすみやかにアップデートするよう強く推奨している。
アップデートのリリース時点で脆弱性情報の公開は確認されていないが、今後一定期間を経て詳細が公開される予定となっており、注意が必要。
(Security NEXT - 2025/07/18 )
ツイート
PR
関連記事
APIクライアント生成ツール「Orval」にRCE脆弱性 - 再発で2度の修正
ウェブサーバ「NGINX」のTLSプロキシ利用時に応答改ざんのおそれ
「Movable Type」にXSSや数式インジェクションなど複数の脆弱性
Synology製NASに脆弱性 - 3rdパーティ製ツールに起因、KEV登録済み
Kubernetes向け「Rancher Local Path Provisioner」に深刻な脆弱性
IBMの暗号基盤「CCA」に脆弱性 - 任意コマンド実行のおそれ
「ServiceNow」に深刻な脆弱性 - 2025年10月更新で修正済み
悪用リストに脆弱性4件登録 - サポートツールやPBXなど3製品
脆弱性管理ツール「Rapid7 InsightVM」に脆弱性 - 認証回避のおそれ
「Chrome」に重要度「高」脆弱性が2件 - アップデートを公開
