CVE-2025-54068 : Vulnérabilité critique d'injection de code dans Laravel Livewire — Ce que vous devez savoir

Introduction

Une vulnérabilité critique a été identifiée dans Laravel Livewire, l'un des composants les plus populaires de l'écosystème Laravel pour la construction d'interfaces dynamiques sans JavaScript. Référencée sous l'identifiant CVE-2025-54068, cette faille d'injection de code expose potentiellement des milliers d'applications à une exécution de commandes à distance (Remote Command Execution) par des attaquants non authentifiés.

Dans cet article, nous vous proposons une analyse claire de la vulnérabilité, de ses implications concrètes, et des mesures à prendre immédiatement pour protéger vos applications.

Qu'est-ce que la CVE-2025-54068 ?

Description technique

La CVE-2025-54068 est une vulnérabilité d'injection de code présente dans le projet Livewire pour Laravel. Selon l'advisory de sécurité officiel publié sur GitHub (GHSA-29cq-5w36-x7w3), cette faille permettrait à un attaquant non authentifié d'exécuter des commandes arbitraires sur le serveur cible dans certains scénarios spécifiques.

Quel est le niveau de sévérité ?

Bien que le score CVSS officiel ne soit pas encore publié au moment de la rédaction de cet article, la nature de la faille — RCE non authentifiée — la place automatiquement dans la catégorie des vulnérabilités critiques. La CISA (Cybersecurity and Infrastructure Security Agency) américaine a d'ailleurs intégré cette CVE à son catalogue des Known Exploited Vulnerabilities (KEV), aux côtés de failles Apple et Craft CMS, en ordonnant un patching avant le 3 avril 2026.

Cette inscription au KEV signifie que la vulnérabilité est connue pour être exploitée activement dans des campagnes malveillantes, potentiellement liées à des ransomwares.

Pourquoi Livewire est-il particulièrement concerné ?

Laravel Livewire est un framework full-stack qui simplifie la création de composants dynamiques directement depuis le backend PHP. Sa popularité est considérable dans l'écosystème Laravel : il est utilisé dans des projets allant des startups aux applications d'entreprise.

Son fonctionnement repose sur des échanges AJAX entre le navigateur et le serveur, en sérialisant et désérialisant des états de composants. Cette mécanique, si elle n'est pas correctement sécurisée, peut devenir un vecteur d'attaque privilégié pour des injections de code malveillant.

⚠️ Dans le cas de la CVE-2025-54068, l'exploitation peut survenir sans que l'attaquant soit authentifié, ce qui élargit considérablement la surface d'attaque.

Cela signifie que tout point d'entrée public de votre application utilisant Livewire est potentiellement exposé si vous n'avez pas appliqué le correctif.

Comment corriger la vulnérabilité ?

1. Mettre à jour Livewire immédiatement

La première action à entreprendre est la mise à jour de votre dépendance Livewire vers la version corrigée. Le correctif a été intégré dans le commit officiel disponible ici : ef04be759da41b14d2d129e670533180a44987dc.

Pour mettre à jour via Composer :

composer update livewire/livewire

Vérifiez ensuite la version installée :

composer show livewire/livewire

Assurez-vous que la version installée est postérieure au commit de correction. Consultez les releases officielles de Livewire sur GitHub pour confirmer quelle version intègre le patch.

2. Auditer vos composants Livewire existants

Au-delà de la mise à jour, il est recommandé d'auditer vos composants Livewire, en particulier :

• Les propriétés publiques exposées sans validation : toute donnée entrante doit être validée avec les règles Laravel ($rules ou #[Validate]).
• Les actions publiques accessibles depuis le frontend : limitez au strict nécessaire les méthodes exposées.
• L'utilisation de fonctions PHP potentiellement dangereuses (eval(), system(), exec(), etc.) dans vos composants, même indirectement via des helpers.

3. Appliquer le principe du moindre privilège

Vos composants Livewire ne devraient jamais exécuter des opérations sensibles sans vérification d'autorisation explicite. Utilisez les gates et policies Laravel :

public function deleteItem(int $id): void
{
    $this->authorize('delete', Item::findOrFail($id));
    // ...
}

4. Surveiller les logs et les flux réseau

Si vous suspectez une exploitation avant le patch, analysez vos logs d'accès pour détecter des requêtes suspectes vers les endpoints Livewire (généralement /livewire/update ou similaires). Des patterns inhabituels dans les payloads JSON méritent une attention particulière.

Bonnes pratiques générales pour sécuriser vos applications Laravel

Cet incident est l'occasion de rappeler quelques pratiques fondamentales :

• Maintenez vos dépendances à jour : abonnez-vous aux alertes de sécurité GitHub pour vos packages critiques.
• Activez les mises à jour automatiques de sécurité via des outils comme Dependabot ou Renovate.
• Suivez les advisories de sécurité de l'écosystème Laravel sur https://github.com/advisories.
• Mettez en place un WAF (Web Application Firewall) pour filtrer les requêtes malveillantes en amont.
• Effectuez des audits de sécurité réguliers sur vos applications en production.

Conclusion

La CVE-2025-54068 rappelle que même des outils aussi matures et populaires que Laravel Livewire peuvent présenter des vulnérabilités critiques. La réactivité est ici essentielle : avec une exploitation active documentée et une date limite fixée par la CISA au 3 avril 2026, il n'y a pas de place pour l'attentisme.

Appliquez le correctif dès maintenant, auditez vos composants et renforcez vos pratiques de sécurité. Chez MulerTech, nous accompagnons nos clients dans la sécurisation de leurs applications PHP/Symfony et Laravel — n'hésitez pas à nous contacter si vous avez besoin d'un audit ou d'une assistance sur ce sujet.

Source originale : CVE-2025-54068: Laravel Livewire Code Injection Vulnerability — DEV Community