Laravelアプリケーション向けに広く利用されているファイル管理コンポーネント「Livewire Filemanager」に存在する重大な脆弱性が、CERT Coordination Centerによって公開されました。
CVE-2025-14894として追跡され、CERTの脆弱性ノートVU#650657が割り当てられたこの欠陥により、影響を受けるシステムで認証不要のリモートコード実行(RCE)が可能になります。
この脆弱性は、不十分なファイル検証メカニズムに起因しており、攻撃者がWebからアクセス可能なディレクトリ内に悪意のあるPHPファイルをアップロードして実行できてしまいます。
この脆弱性が存在するのは、コンポーネントがアップロード処理中に適切なファイルタイプおよびMIMEの検証を行っていないためです。
この設計上の欠陥により、攻撃者は制限を回避して、悪意のあるPHPファイルをアプリケーションサーバーへ直接アップロードできます。
PHP artisan storage: linkコマンドが実行されると、標準的なLaravelのセットアップ手順により、公開されている「storage/app/public」URLパス経由でアクセス可能となるファイルが配置されます。
この脆弱性を悪用する攻撃者は、悪意のあるPHPファイルとともにユーザーIDパラメータを渡し、Webからアクセス可能なディレクトリに対してリクエストを作成できます。
実行されると、アップロードされたファイルはWebサーバーユーザーの権限で動作し、そのユーザーの権限範囲内にあるすべてのファイルに対して完全な読み書きアクセスを得ます。
この能力は単なるファイル操作にとどまらず、攻撃者はリバースシェルの確立、バックドアの注入、あるいは横展開によって接続されたインフラを侵害することも可能です。
CVE-2025-14894は、LaravelベースのWebアプリケーションにとって深刻なリスクを示します。
この脆弱性は認証を必要としないため、ネットワークアクセスを持つ任意の認証不要の攻撃者が、遠隔から任意のコードを実行できます。
Livewire Filemanagerを運用している組織は、特にインターネットに公開されたLaravelアプリケーションを持つ場合、直ちに影響範囲を評価すべきです。
Webサーバー権限でコードを実行できることは、連鎖的な侵害につながり得ます。攻撃者は機密データの持ち出し、ランサムウェアの展開、または侵害したサーバーをさらなる攻撃の踏み台として利用できます。
CERT/CCは、Livewire Filemanagerの導入に関して直ちに注意を払うよう勧告しています。組織は、自社サーバーでPHP artisan storage: linkコマンドが実行されているかどうかを確認すべきです。
実行が確認された場合、管理者はストレージディレクトリの公開Web配信機能を無効化し、直接のファイルアクセスを防止する必要があります。
さらに、Livewire Filemanagerの組み込みメカニズムとは独立して、アプリケーションレベルで厳格なファイルタイプ検証を実装し、ホワイトリストにない拡張子を拒否してください。
また、組織はアップロードディレクトリに不審なPHPファイルがないか監視し、ファイルアップロード悪用パターンを狙ったルールを備えるWebアプリケーションファイアウォールの導入も検討すべきです。
ベンダーはまだCVE-2025-14894を認めていないため、利用者はパッチ情報について公式のLaravelおよびLivewireのセキュリティチャネルを監視してください。
パッチがリリースされるまでの間、高リスク環境ではファイル管理機能の周囲に追加の認証レイヤーを導入するか、ファイルアップロード機能を一時的に無効化する必要がある場合があります。
翻訳元: https://cyberpress.org/livewire-filemanager-vulnerability/