CVE-2025-54068 — Laravel Livewire v3 远程代码执行漏洞 完整分析一、基本信息项目内容CVE IDCVE-2025-54068QVD IDQVD-2025-28233CNNVD IDCNNVD-202507-2331漏洞类型反序列化 → 远程代码执行 (RCE)CWECWE-502不可信数据反序列化影响产品Laravel Livewire v3全栈前端框架影响版本3.0.0 ≤ Livewire 3.6.4修复版本Livewire v3.6.4披露日期2025-07-17漏洞作者发现Synacktiv 安全团队二、风险定级评分体系分数向量CVSS 3.19.8极危AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H奇安信 QVC10.0极危—EPSS0.95247百分位 99.86%接近必被利用关键特征无需认证PR:N无需用户交互UI:N攻击复杂度低AC:LCISA KEV 已收录确认在野利用公开 PoC / EXP 均已发布已修复补丁存在于 v3.6.4三、漏洞原理利用链分析#### 根因组件反序列化中的 PHP 对象注入CWE-502Livewire v3 的组件hydrate/update机制在处理**组件快照snapshot**时未充分校验用户传入的序列化数据攻击者可以构造恶意的 PHP 序列化 payload 触发反序列化最终实现远程代码执行。攻击链三步Step 1探测目标是否存在 Livewire 组件 └─ GET / → 提取 wire:snapshot、csrf_token、data-update-uri Step 2发送恶意更新请求到 /livewire/update └─ POST 篡改的 snapshot含恶意序列化 payload │ ▼ Step 3PHP 反序列化 → 触发魔术方法链 └─ __toString() → BroadcastEvent → PendingBroadcast → Validator (extensions) → system() 回调 ⬇ **任意命令执行**关键 Gadget Chain┌─ __toString (触发点) │ ↓ ├─ Illuminate\Broadcasting\BroadcastEvent │ ↓ ├─ Illuminate\Broadcasting\PendingBroadcast │ ├─ events → Validator │ │ └─ extensions → system (函数名) │ └─ event → 要执行的命令字符串 │ ↓ └─ system(命令) → RCE该漏洞无需依赖特定 Livewire 组件的存在——只要站点使用了 Livewire v3 即可被攻击。—四、PoC 检测模板Nuclei已有一个完整的Nuclei 检测模板作者: flame-11已 verifiedmax-request3第一步获取页面特征— 提取wire:snapshot、CSRF token、update URI、参数名第二步发送合法更新— 拿到签名后的 snapshot第三步注入恶意 payload— 发送带反序列化 gadget chain 的 payload通过 OOBHTTP 回连验证 RCE 公开 PoC 工具Livepyre已由 Synacktiv 发布https://github.com/synacktiv/Livepyre 详细技术报告https://www.synacktiv.com/en/publications/livewire-remote-command-execution-through-unmarshalingShodan 搜索指纹html:wire:id全球暴露面可观—五、漏洞影响影响范围全球约10,000受影响资产奇安信漏洞库估算攻击面所有使用livewire/livewire ^3.0的 Laravel 应用无需认证即可远程利用危害等级完全控制 Web 服务器读文件、安装后门、横向移动、数据窃取在野利用已被 CISA KEV 收录确认存在真实攻击活动六、修复与缓解措施立即升级首选codecomposer require livewire/livewire:^3.6.4或手动更新composer.json后composer update livewire/livewire临时缓解方案升级前WAF 规则拦截/livewire/update端点中包含__toString、BroadcastEvent、PendingBroadcast、chained等特征载荷的 POST 请求 2.访问控制对/livewire/update端点添加 IP 白名单或认证鉴权 3.禁用反序列化类白名单在 PHP 中配置allowed_classes白名单限制 4.监控告警关注异常的反序列化异常日志和system/exec/passthru等危险函数调用七、参考链接来源链接GitHub Security AdvisoryGHSA-29cq-5w36-x7w3补丁 commitef04be759da41b14d2d129e670533180a44987dc修复版本发布v3.6.4 ReleaseCISA KEVCISA CatalogPoC 工具 (Livepyre)Synacktiv/Livepyre技术细节文章Synacktiv 分析Nullcon 演讲SlidesNVDNVD Detail总结CVE-2025-54068是 Laravel Livewire v3 的极危 RCE 漏洞CVSS 9.8源于组件快照反序列化过程中对用户输入的校验缺失。攻击者可利用 PHP 原生类 gadget chainBroadcastEvent → PendingBroadcast → Validator → system()在无需认证的情况下远程执行任意命令。目前已确认在野利用、公开 PoC/EXP 已扩散任何使用livewire/livewire ^3.0的应用都应立即升级至 v3.6.4。