Cảnh báo khẩn: Lỗ hổng CVE Livewire Filemanager dẫn đến RCE nghiêm trọng

Một lỗ hổng CVE bảo mật nghiêm trọng đã được phát hiện trong Livewire Filemanager, một thành phần quản lý tệp được sử dụng rộng rãi và nhúng vào các ứng dụng web Laravel.

Lỗ hổng này được theo dõi dưới mã định danh CVE-2025-14894 và được gán ghi chú lỗ hổng VU#650657. Nó cho phép những kẻ tấn công không cần xác thực thực thi mã tùy ý trên các máy chủ dễ bị tổn thương.

Phân tích kỹ thuật lỗ hổng CVE-2025-14894

Nguyên nhân của lỗ hổng bắt nguồn từ việc xác thực tệp không đúng cách trong thành phần LivewireFilemanagerComponent.php.

Công cụ này không thực thi đầy đủ việc xác thực loại tệp và MIME, cho phép kẻ tấn công tải lên các tệp PHP độc hại trực tiếp thông qua giao diện web.

Khi đã được tải lên, các tệp này có thể được thực thi thông qua thư mục /storage/ có thể truy cập công khai.

Điều này xảy ra nếu lệnh php artisan storage:link đã được thực thi trong quá trình thiết lập Laravel tiêu chuẩn.

Cơ chế khai thác

Khai thác thành công lỗ hổng này cấp cho kẻ tấn công khả năng remote code execution (RCE) với các đặc quyền của người dùng máy chủ web.

Điều này cho phép kẻ tấn công thực hiện xâm nhập hệ thống toàn diện, bao gồm quyền đọc và ghi tệp không hạn chế đối với tất cả các tệp mà tiến trình máy chủ web có thể truy cập.

Sau đó, kẻ tấn công có thể mở rộng phạm vi xâm nhập sang các hệ thống và cơ sở hạ tầng được kết nối.

Cuộc tấn công mạng không yêu cầu xác thực và có thể được thực hiện từ xa.

Kẻ tấn công chỉ cần tải lên một webshell PHP độc hại vào ứng dụng thông qua giao diện tải lên của Livewire Filemanager.

Sau đó, chúng sẽ kích hoạt thực thi bằng cách truy cập tệp thông qua URL của thư mục lưu trữ.

Tác động và Rủi ro Hệ thống

Khả năng RCE không xác thực là một rủi ro cực kỳ nghiêm trọng. Nó cho phép kẻ tấn công kiểm soát hoàn toàn máy chủ bị ảnh hưởng.

Mức độ ảnh hưởng bao gồm việc trích xuất dữ liệu nhạy cảm, cài đặt mã độc, hoặc sử dụng máy chủ làm bàn đạp cho các cuộc tấn công mạng tiếp theo.

Việc vendor cố tình đánh dấu việc xác thực loại tệp nằm ngoài phạm vi trong tài liệu bảo mật của họ, đặt trách nhiệm xác thực lên các nhà phát triển, đã tạo ra một lỗ hổng kiến trúc.

Vấn đề chính nằm ở kiến trúc của công cụ, nó trực tiếp cho phép thực thi các tệp đã tải lên mà không có các biện pháp bảo vệ bổ sung.

Khuyến nghị và Biện pháp Phòng ngừa

Tại thời điểm công bố, vendor chưa xác nhận lỗ hổng CVE này. Do đó, cần có các biện pháp bảo vệ tức thì.

CERT/CC khuyến nghị [ https://kb.cert.org/vuls/id/650657 ] các tổ chức thực hiện các bước sau:

• Xác minh xem lệnh php artisan storage:link đã được thực thi trên hệ thống hay chưa.
• Nếu đã xác nhận, hãy xóa khả năng phục vụ web của thư mục lưu trữ công khai.

Các tổ chức sử dụng Livewire Filemanager nên ngay lập tức triển khai các hạn chế tải lên tệp ở cấp độ ứng dụng, độc lập với chức năng của Livewire.

Cần xem xét việc triển khai các chính sách allowlist nghiêm ngặt. Các chính sách này giới hạn việc tải lên chỉ các loại tệp an toàn và áp dụng xác thực loại MIME toàn diện.

Một biện pháp quan trọng để tăng cường an toàn thông tin là lưu trữ các tệp đã tải lên bên ngoài thư mục có thể truy cập web.

Nếu việc phục vụ web cho thư mục lưu trữ không cần thiết cho hoạt động, hãy tắt liên kết lưu trữ công khai.

Cập nhật và Tăng cường An toàn Thông tin

Đối với các nhà phát triển, việc thực hiện xác thực đầu vào nghiêm ngặt là điều tối quan trọng để ngăn chặn các lỗ hổng CVE tương tự.

Đảm bảo rằng mọi tệp tải lên đều được xử lý an toàn, bao gồm việc đổi tên tệp, kiểm tra nội dung và giới hạn quyền thực thi.

Thường xuyên kiểm tra và cập nhật các thành phần của bên thứ ba cũng là một phần không thể thiếu của chiến lược an toàn thông tin toàn diện.