Se ha descubierto una vulnerabilidad de seguridad crítica en el marco Livewire de Laravel que podría exponer a millones de aplicaciones web a ataques de ejecución de código remoto (RCE).
El defecto, designado como CVE-2025-54068, afecta las versiones V3 Livewire V3 de 3.0.0-beta.1 a 3.6.3, con un puntaje CVSS V4 que indica una gran gravedad a través de la confidencialidad, la integridad y las métricas de disponibilidad.
La vulnerabilidad se origina en el manejo inadecuado de las actualizaciones de la propiedad de componentes durante los procesos de hidratación y no requiere autenticación ni interacción del usuario para la explotación.
Control de llave
1. LiveWire V3 RCE Flaw permite ataques remotos no autenticados (CVE-2025-54068).
2. Versiones 3.0.0-beta.1 a 3.6.3 afectadas.
3. Actualice a v3.6.4 inmediatamente: no hay solución disponible.
Vulnerabilidad de ejecución de código remoto de LiveWire V3
La falla de seguridad reside específicamente en el mecanismo de hidratación de actualización de la propiedad de LiveWire V3, que procesa los cambios en el estado del componente en el lado del servidor.
A diferencia de las versiones anteriores del marco, esta vulnerabilidad es exclusiva de V3 y permite a los atacantes no autenticados lograr una ejecución de comandos remotos a través de ataques basados en la red.
La complejidad del ataque se califica como alta, lo que significa que la explotación requiere configuraciones de componentes específicas, pero críticamente, no se necesitan privilegios o interacción del usuario para ataques exitosos.
La clasificación del vector de ataque de la vulnerabilidad como “red” con “requisitos de ataque: ninguno” indica que los actores maliciosos pueden explotar las aplicaciones vulnerables de forma remota sin requerir acceso local o condiciones especiales.
Esto hace que la vulnerabilidad sea particularmente peligrosa para las aplicaciones de Laravel orientadas a Internet que utilizan versiones afectadas de Livewire.
Los investigadores de seguridad han clasificado esta vulnerabilidad como crítica, con las métricas base CVSS V4 que muestran puntajes de impacto máximos para la confidencialidad, integridad y disponibilidad de sistemas vulnerables.
La vulnerabilidad afecta a todas las instalaciones de Livewire que ejecutan versiones 3.0.0-beta.1 a 3.6.3, lo que puede afectar a miles de aplicaciones de Laravel en todo el mundo que han adoptado el marco V3 más nuevo.
El escenario de explotación requiere que los componentes se “monten y configuren de una manera particular”, lo que sugiere que, si bien no todas las instalaciones de LiveWire V3 pueden ser vulnerables, aquellos que cumplen con las condiciones específicas enfrentan un riesgo inmediato de compromiso completo del sistema.
El puntaje de impacto de alta disponibilidad indica que la explotación exitosa podría resultar en la interrupción del sistema o la negación de las condiciones de servicio.
VERSIONES DE PRODUCTOS DE LA CABERA DE RIESGO DETACIÓN
Mitigaciones
LiveWire tiene liberado Versión 3.6.4 Para abordar esta vulnerabilidad crítica, con todos los usuarios muy alentados a actualizar de inmediato.
Actualmente, no existe una solución para esta falla de seguridad, lo que hace que la actualización del parche sea la única estrategia de mitigación viable.
El equipo de desarrollo ha indicado que se publicará información técnica detallada después de una ventana de divulgación responsable para evitar la explotación generalizada de los sistemas no parpados.
Las organizaciones que ejecutan las versiones de Livewire afectadas deben priorizar esta actualización como parte de sus procedimientos de gestión de parches de emergencia, dado el potencial de la vulnerabilidad para la ejecución de código remoto no autenticado y su calificación crítica de CVSS.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
