最近使用 livewire 的人要注意了,看一下自己的项目目录下有没有奇怪的代码,如果是老项目更要注意,livewire 目前出了一个高危漏洞,能够直接被远程上传文件。
这个漏洞是 6 月份被人爆出来的,理论上更新到最新版就能够解决了,但好象很多人一直没有去处理它:
搜索到的内容基本上都是这么说是:
XML/HTML代码
- 该漏洞编号为 CVE-2025-54068,其攻击原理是利用 Livewire 框架内部的 “状态还原” 机制 —— 这一机制原本用于实现服务器与浏览器之间的状态同步。尽管官方已发布漏洞补丁,但研究人员警告称,框架的一项核心设计特性仍如同定时炸弹,一旦应用程序的密钥泄露,便会触发严重风险。
还有就是 app-key 的泄漏,好象官方也没当回事,搜了一下说是有针对性的攻击代码,所以攻击大多是在年底的时候爆发了。
---
框架的问题,如果不想从根上想办法处理,那就定时更新 composer 吧。有事没事,composer 更新一下(只是有些老代码就尴尬了,也许这类项目已经死了,就会有兼容性问题)
