Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Livewire」にRCE脆弱性 - すみやかにアップデートを

「Laravel」の機能を拡張するウェブ開発フレームワーク「Livewire 3」にリモートよりコマンドの実行が可能となる脆弱性が明らかとなった。アップデートが推奨されている。

「同3.6.3」および以前のバージョンにおいて、特定条件下で認証なしにリモートより任意のコマンドが実行できる脆弱性「CVE-2025-54068」が明らかとなったもの。

プロパティ更新にともなう内部処理の不備により生じる脆弱性で、対象のコンポーネントがマウントされている場合に影響を受ける。

CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv4.0」のベーススコアを「9.2」、重要度を4段階中、もっとも高い「クリティカル(Critical)」とレーティングした。「Livewire 3」のみ影響があり、「同2」など旧バージョンは影響を受けないという。

開発グループでは、現地時間2025年7月17日に脆弱性を修正した「同3.6.4」をリリース。回避策などはなく、利用者に対してすみやかにアップデートするよう強く推奨している。

アップデートのリリース時点で脆弱性情報の公開は確認されていないが、今後一定期間を経て詳細が公開される予定となっており、注意が必要。

(Security NEXT - 2025/07/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

サポートツール「SimpleHelp」の脆弱性悪用を確認 - 米当局が注意喚起
「GitLab」にセキュリティ更新 - 脆弱性13件を修正
権威DNSサーバ「NSD」に複数脆弱性 - 修正版が公開
先週注目された記事(2026年6月21日〜2026年6月27日)
「libssh2」に整数オーバーフローの脆弱性 - 実証コードも公開
ログ収集ツール「Fluentd」に深刻な脆弱性 - 修正版を公開
「FortiBleed」に国内組織の情報も - 影響調査など実施を
DB管理ツール「pgAdmin 4」に脆弱性 - 3件が「クリティカル」
Synology製NAS向けのメールサーバアドオンに深刻な脆弱性
「OpenDJ」にクリティカル脆弱性 - アップデートで修正