Hack Alerta

CVE-2025-14894: Livewire Filemanager permite RCE sem autenticação

Por Redação Hack Alerta Publicado em 19/01/2026 10:02 Riscos e Ameaças Tempo de leitura: 3 min

Uma falha em Livewire Filemanager (CVE-2025-14894 / VU#650657) permite upload de PHP malicioso e execução remota sem autenticação, especialmente em instalações Laravel com php artisan storage:link. CERT/CC recomenda remover o serving público e aplicar allowlists de upload enquanto fornecedores não se pronunciam.

Introdução

Foi divulgada uma vulnerabilidade crítica em Livewire Filemanager — componente usado em aplicações Laravel — que permite execução remota de código sem autenticação. A falha foi rastreada como CVE-2025-14894 (VU#650657) e recebeu recomendações do CERT/CC.

O que é e como funciona a falha

De acordo com o relatório do Cyber Security News, a raiz da vulnerabilidade está no componente LivewireFilemanagerComponent.php, que falha ao validar de forma adequada o tipo de arquivo e o MIME durante uploads. Essa lacuna possibilita o envio de arquivos PHP maliciosos via interface de upload do Livewire Filemanager.

Vetor de exploração

O ataque descrito não requer autenticação: um atacante remoto pode simplesmente carregar um webshell PHP e então acessá‑lo pela URL pública de armazenamento. O cenário de risco é agravado quando a instalação padrão do Laravel executou o comando php artisan storage:link, que cria um link público para o diretório /storage/ — local onde arquivos carregados podem ser servidos diretamente pela web.

Impacto técnico

A exploração bem-sucedida concede execução remota de código com os privilégios do usuário do servidor web, possibilitando leitura e escrita de arquivos acessíveis ao processo do servidor, pivoteamento lateral e comprometimento abrangente da infraestrutura hospedeira. O CERT/CC classifica a situação como de alto risco e recomenda medidas imediatas de mitigação.

Status dos fornecedores e recomendações

Na divulgação relatada, os fornecedores mencionados (incluindo Bee Interactive e distribuições relacionadas ao Livewire) ainda não haviam confirmado reconhecimento formal do problema. O CERT/CC recomenda que equipes verifiquem se o comando php artisan storage:link foi executado e, se for o caso, removam a capacidade de servir arquivos via esse link público quando possível.

  • Implemente restrições de upload em nível de aplicação (allowlist).
  • Valide MIME types e extensões no servidor, independentemente de controles do Livewire.
  • Armazene uploads fora do diretório acessível pela web quando possível.
  • Desative o link público de storage caso não seja necessário.

Limites do que se sabe

O texto fonte indica que os fornecedores não haviam emitido posicionamento público no momento da reportagem, portanto continuam faltando informações sobre correções oficiais, versões afetadas com maior precisão ou cronograma de patches. Também não há evidência pública listada na matéria sobre exploração ativa massiva em ambiente real — embora a facilidade de exploração (sem autenticação) configure risco elevado para aplicações Laravel que incluam o componente.

Observações para times de segurança

Equipes de aplicação devem tratar esse aviso como prioridade: identificar instâncias que utilizem Livewire Filemanager, checar se files upload são servidos publicamente via storage, aplicar regras de bloqueio de tipos de arquivo e, se necessário, isolar ou tirar do ar endpoints de upload até que mitigação adequada seja implementada. Monitoramento por sinais de webshells e revisão de logs de acesso são medidas complementares recomendadas.

Fonte: Cyber Security News (reportagem publicada em 19/01/2026)
Baseado em publicação original de Cyber Security News
Tags: #livewire #laravel #rce #cve-2025-14894 #cert-cc #web-security #file-upload #php #vulnerability
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar