# CVE-2025-54068 - Laravel Livewire Code Injection (RCE Não Autenticado) > [!danger] Exploração Ativa Confirmada - CISA KEV > Vulnerabilidade crítica de injeção de código no Laravel Livewire v3 permite RCE não autenticado. CVSS 9.8, EPSS 87%, exploração ativa por atores estatais iranianos. Patch disponível (v3.6.4). Prazo CISA KEV: 2026-04-03. ## Visão Geral **CVE-2025-54068** é uma vulnerabilidade crítica de **injeção de código** (CWE-94) no **[[Laravel Livewire]]** v3, o popular framework full-stack para construção de aplicações dinâmicas em Laravel. A falha permite que atacantes não autenticados obtenham execução remota de comandos em cenários específicos de configuração de componentes. A vulnerabilidade reside no mecanismo de **hidratação de propriedades de componentes** (arquivo `HandleComponents.php`). Durante o ciclo de vida do componente, o Livewire processa dados recebidos para restaurar o estado do componente - porém, a válidação insuficiente neste processo de hidratação permite que payloads maliciosos sejam injetados e executados como código PHP no servidor. A falha afeta exclusivamente o **Livewire v3** e não impacta versões anteriores (v1 ou v2), que possuem arquitetura distinta. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - EPSS: **~87%** de probabilidade de exploração nos próximos 30 dias - CISA KEV: **adicionado em 2026-03-20** - prazo de remediação: **2026-04-03** - Exploit público: **PoC disponível** (walkthrough detalhado públicado); **exploração ativa confirmada** incluindo atores iranianos de ameaça estatal ## Impacto Técnico Um atacante que explore esta vulnerabilidade com sucesso pode: - **Execução de código remoto não autenticado:** executar comandos PHP arbitrários no contexto do servidor web, sem qualquer autenticação ou interação do usuário - **Comprometimento total da aplicação:** acesso a credenciais de banco de dados, dados de usuários, segredos de aplicação (`.env`), e tokens de API - **Escalonamento lateral:** a partir do servidor comprometido, movimentação para outros sistemas na rede interna - **Defacement ou exfiltração de dados:** comum em ataques oportunistas contra aplicações web públicas **Condição de exploração:** a vulnerabilidade requer que um componente Livewire esteja montado (mounted) e configurado de forma específica. Embora isso limite o universo de aplicações vulneráveis, a ampla base de instalação do Livewire v3 (mais de 53 milhões de downloads) garante uma superfície de ataque significativa. **Impacto para organizações LATAM/Brasil:** O [[Laravel]] é o framework PHP mais popular no Brasil e em toda a América Latina, amplamente utilizado em aplicações de e-commerce, [[financial|fintechs]], sistemas de gestão e portais corporativos. Estima-se que milhares de aplicações Laravel brasileiras utilizem Livewire v3. O risco de exploração oportunista é **alto**, especialmente em aplicações com formulários públicos ou endpoints Livewire expostos. ## Attack Flow ```mermaid graph TB A["📡 Reconhecimento<br/>Identificar endpoints<br/>Livewire expostos"] --> B["💥 Exploit CVE-2025-54068<br/>Payload malicioso via<br/>hidratação de propriedades"] B --> C["🔑 RCE no Servidor<br/>Execução de código PHP<br/>sem autenticação"] C --> D["🔑 Acesso a Segredos<br/>Leitura de .env, tokens<br/>e credenciais de BD"] D --> E["🛡️ Persistência<br/>Upload de web shell<br/>ou backdoor PHP"] E --> F["📤 Exfiltração<br/>Dados de usuários,<br/>chaves de API"] F --> G["🔗 Movimentação Lateral<br/>Pivot para rede interna<br/>via servidor comprometido"] ``` ## Relevância LATAM/Brasil > [!latam] Impacto Regional > O Brasil é o segundo maior mercado mundial de Laravel, com 3.290 sites ativos (14,7% da base global). O framework é amplamente utilizado por fintechs, e-commerces, portais corporativos e sistemas de gestão em toda a América Latina. Empresas brasileiras como PicPay (serviços financeiros) e cooperativas agroindustriais utilizam Laravel em produção. O Livewire v3, componente afetado pela CVE-2025-54068, é o padrão de facto para interfaces dinâmicas em aplicações Laravel modernas. Com mais de 53 milhões de downloads, estima-se que milhares de aplicações brasileiras utilizem Livewire v3 em formulários públicos, dashboards e sistemas de atendimento ao cliente. O risco para organizações brasileiras é particularmente elevado por três fatores: (1) a alta adoção de Laravel nos setores [[financial|financeiro]] e [[technology|tecnologia]], (2) a tendência de aplicações menores e médias terem ciclos de atualização mais lentos, e (3) a disponibilidade de PoC público e exploração ativa confirmada por atores estatais iranianos, que ampliam a superfície de ameaça para ataques oportunistas automatizados. Equipes de segurança devem priorizar a verificação de versões do Livewire em todos os projetos Laravel com exposição pública. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Laravel | Livewire | v3.0.0-beta.1 – v3.6.3 | v3.6.4+ | **Não afetado:** Livewire v1.x e v2.x (arquitetura diferente); aplicações que não utilizam componentes Livewire montados com atualizações de propriedades via HTTP. ## Patch e Mitigação **Patch oficial:** - Advisory: [GHSA-29cq-5w36-x7w3](https://github.com/livewire/livewire/security/advisories/GHSA-29cq-5w36-x7w3) - Versão corrigida: **Livewire v3.6.4** - Data de lançamento do patch: **2025-07-17** **Como aplicar:** ```bash # Atualizar Livewire via Composer composer require livewire/livewire:^3.6.4 # Verificar versão instalada composer show livewire/livewire | grep versions # Limpar caches da aplicação após atualização php artisan cache:clear php artisan view:clear php artisan config:clear ``` **Mitigações temporárias** (quando patch não é imediatamente possível): - Desabilitar temporariamente componentes Livewire em formulários públicos de alta exposição - Implementar WAF rule para bloquear requisições POST suspeitas a endpoints `/livewire/` - Monitorar logs do servidor web em busca de payloads anômalos em endpoints Livewire - Revisar quais componentes Livewire estão montados e expostos públicamente ## Exploração Ativa **Status atual:** ✅ **Exploração ativa confirmada** - incluindo atores de ameaça estatal iranianos **Evidências de uso em ataques:** - **CISA KEV**: adicionado em 2026-03-20 com confirmação de exploração ativa - **TheCyberThrone (2026-03-21)**: relatório confirma atribuição a atores iranianos vinculados ao estado em campanha ativa - **YouTube PoC (2026-01-21)**: walkthrough público detalhado de exploração públicado meses antes da inclusão na KEV - indica período de exploração silenciosa **Indicadores de Comprometimento:** - Requisições HTTP POST anômalas a endpoints `/livewire/update` ou `/livewire/message/` com payloads codificados ou ofuscados - Processos PHP/web server gerando subprocessos inesperados (`bash`, `sh`, `curl`, `wget`) - Conexões de rede de saída incomuns originadas do servidor web após requisições a endpoints Livewire - Logs do servidor web com `synthetic tuples` malformadas nos corpos de requisição ## CISA KEV Esta vulnerabilidade foi adicionada ao **CISA Known Exploited Vulnerabilities (KEV) Catalog** em **2026-03-20**. - **Prazo de remediação para agências federais EUA:** **2026-04-03** - **Recomendação para o setor privado:** patch imediato obrigatório - qualquer aplicação Laravel com Livewire v3 exposta à internet deve ser considerada em risco; auditar logs de acesso a endpoints Livewire para atividade suspeita retroativa - **Referência:** [CISA KEV - CVE-2025-54068](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Referências - [GHSA-29cq-5w36-x7w3 - GitHub Advisory](https://github.com/livewire/livewire/security/advisories/GHSA-29cq-5w36-x7w3) - [NVD - CVE-2025-54068](https://nvd.nist.gov/vuln/detail/CVE-2025-54068) - [CISA KEV - CVE-2025-54068](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [TheCyberThrone - Atores iranianos exploram Laravel Livewire](https://thecyberthrone.in) ## Notas Relacionadas **CVEs relacionados:** [[cve-2025-32432|CVE-2025-32432]] · [[cve-2023-41892|CVE-2023-41892]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] · [[t1505-003-web-shell|T1505.003 - Web Shell]] · [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] **Mitigações:** [[M1051|M1051 - Update Software]] · [[M1050|M1050 - Exploit Protection]] **Setores em risco:** [[financial|financeiro]] · [[technology|tecnologia]] · [[government|governo]] · [[retail]]