Laravel Livewire: scoperta una backdoor logica che consente esecuzione di codice remoto

Un’analisi approfondita di sicurezza su Livewire, un framework essenziale per lo sviluppo di interfacce dinamiche in Laravel, ha rivelato una vulnerabilità significativa.

Gli esperti di sicurezza di Synacktiv hanno individuato una falla critica e un errore di progettazione che, se sfruttati, potrebbero permettere agli aggressori di eseguire codice arbitrario sui server che ospitano oltre 130.000 applicazioni a livello globale.

Un largo uso caratterizza Livewire, considerato che risulta essere incluso in circa un terzo dei progetti Laravel di nuova realizzazione, al fine di generare frontend interattivi con codice JavaScript minimale. Il suo funzionamento si basa sulla “deidratazione” dello stato di un componente, trasformato in un formato serializzato e inviato al client, per poi essere “reidratato” al suo ritorno.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il bug, monitorato con il CVE-2025-54068, sfrutta il meccanismo di “idratazione” interno di Livewire, il processo utilizzato per sincronizzare lo stato tra il server e il browser. Sebbene sia stata rilasciata una patch, i ricercatori avvertono che una caratteristica di progettazione fondamentale rimane una bomba a orologeria per le applicazioni con credenziali trapelate.

Il problema principale risiedeva nel modo in cui Livewire gestiva gli aggiornamenti. “Di default, se gli sviluppatori non applicano la tipizzazione forte ai parametri dei loro componenti, saranno vulnerabili al type juggling”, spiega il rapporto.

Gli aggressori potrebbero inviare una richiesta appositamente creata che converte un semplice contatore di interi in un array dannoso, inducendo il server a eseguire codice.

I ricercatori di Synacktiv hanno scoperto di poter manipolare questo processo. Identificando una catena di gadget che coinvolge il comportamento unserialize() di PHP, hanno trovato un modo per ottenere “l’esecuzione furtiva di comandi remoti”.

Per dimostrare la gravità di queste falle, Synacktiv ha rilasciato uno strumento proof-of-concept chiamato Livepyre. Lo strumento automatizza il processo di exploit, in grado di verificare la vulnerabilità e distribuire il payload.

“La scoperta di CVE-2025-54068 ha ulteriormente evidenziato una falla critica : la capacità di violare il meccanismo di aggiornamento, aggirando completamente la necessità di APP_KEY”, hanno affermato i ricercatori.

In genere, Livewire protegge il proprio stato con un checksum firmato dall’APP_KEY dell’applicazione. Tuttavia, la vulnerabilità CVE-2025-54068 ha consentito agli aggressori di aggirare completamente questo requisito.

Ciò significa che anche senza la chiave segreta, un aggressore potrebbe iniettare oggetti dannosi, in particolare utilizzando una tecnica che coinvolge GuzzleHttpPsr7FnStream e metodi destruct magic, per attivare l’esecuzione di codice remoto (RCE).

Sebbene la vulnerabilità CVE-2025-54068 sia stata corretta nelle versioni 3.6.4 e successive, rimane un rischio più grave. La ricerca evidenzia che se un aggressore riesce a ottenere l’APP_KEY (un evento comune dovuto a perdite o valori predefiniti), l’applicazione è sostanzialmente indifesa contro RCE.

“La versione dell’exploit che richiede APP_KEY non è stata corretta perché sfrutta il modo in cui è progettato Livewire… Il team di Livewire non lo ha considerato un problema di sicurezza”.

Synacktiv sostiene che questa posizione sottostima il rischio, osservando che “essere in possesso dell’APP_KEY su un’applicazione basata su Livewire versione successiva alla 3 significa poterla compromettere completamente”.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.