Laravelフレームワーク向けの人気ユーティリティ内で重大な脆弱性が明らかになり、通常のファイルアップローダーがリモート任意コード実行の経路へと事実上変貌します。欠陥はLivewire Filemanagerに存在し、体系的な見落としにより、未認証の攻撃者が悪意あるPHPバイナリをサーバーへアップロードし、その後、一般的なWebブラウザ経由でそれらを呼び出せてしまいます。
CVE-2025-14894(CVSSスコア7.5)として指定されたこの脆弱性は、LivewireFilemanagerComponent.phpコンポーネントに影響します。問題の核心は、取り込み処理の際にファイル拡張子やMIMEタイプを精査しないというモジュールの不備にあります。開発者は当初、ファイルのフィルタリングはエンドユーザーの責務であると想定していましたが、この寛容な設計とLaravelの標準設定が組み合わさることで、容易な悪用経路が成立します。
多くのLaravel環境では、php artisan storage:linkコマンドの実行により、Web経由でアセットを配信する目的で、storage/app/publicディレクトリへの公開シンボリックリンクが作成されます。通常、これは安全な運用です。しかし、Livewire Filemanagerが任意のPHPスクリプトのアップロードを許可するため、これらのファイルは/storageパス配下の公開URLから即座にアクセス可能になります。
攻撃者は細工したスクリプトをアップロードし、ブラウザからアクセスするだけで、認証を完全に回避したままWebユーザー権限でサーバー上での実行を達成できます。この侵害により、包括的なファイルアクセス、永続的なバックドアの設置、そしてインフラ全体にわたる横展開の可能性が与えられます。
CERT/CCによれば、その影響は壊滅的で、Webサーバー環境を完全に制御できるようになります。この足掛かりを通じて、悪意ある行為者は永続性を維持し、機微な情報を流出させ、またはサーバーを近接するネットワークノードへの攻撃の前線拠点として再利用する可能性があります。
現時点で、Livewire Filemanagerの開発者はこの欠陥を正式に認めておらず、修正策も公開していません。セキュリティ専門家はLaravel管理者に対し、Livewire Filemanagerが公開ストレージリンクと併用されているかどうかを早急に確認するよう強く助言しています。シンボリックリンクがすでに作成されている場合は、確定的なパッチが作成されるまで、アップロードディレクトリへのWebアクセスを一時的に取り消すか、Filemanager自体を完全に削除することが推奨されます。
翻訳元: https://meterpreter.org/unpatched-rce-in-livewire-filemanager-grants-full-server-access/
