В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая популярный компонент для управления файлами в веб-приложениях. Речь идет о модуле Livewire Filemanager версий до 1.0.4 включительно. Идентификатор уязвимости в системе BDU - BDU:2026-00912, также ей присвоен идентификатор CVE-2025-14894. Проблема классифицируется как неограниченная загрузка файлов опасного типа, что соответствует CWE-434.
Детали уязвимости
Суть уязвимости заключается в недостаточной проверке типов загружаемых файлов в компоненте "LivewireFilemanagerComponent.php". Конкретно, атакующий может удаленно загрузить на сервер специально сконструированный PHP-файл. Поскольку веб-сервер интерпретирует такой файл как исполняемый скрипт, это открывает путь для выполнения произвольного кода на атакуемой системе. Фактически, злоумышленник получает возможность полного контроля над сервером, где развернуто уязвимое приложение.
Уровень опасности этой уязвимости оценен как критический. Базовые оценки по шкале CVSS составляют максимальные 10 баллов для версии 2.0 и 9.8 баллов для версии 3.1. Такие высокие показатели обусловлены тем, что для эксплуатации не требуется аутентификация или сложные предварительные условия. Более того, вектор атаки имеет сетевой характер, а потенциальный ущерб включает полную компрометацию конфиденциальности, целостности и доступности данных.
Эксплуатация данной уязвимости относится к классу «злоупотребление функционалом». Другими словами, злоумышленник использует штатную функцию загрузки файлов, однако подает на вход опасные данные, которые система не может корректно отфильтровать. Успешная атака позволяет загрузить вредоносную полезную нагрузку, которая затем исполняется на сервере. Это может привести к установке программ-шифровальщиков (ransomware), созданию бэкдоров для постоянного доступа (persistence) или краже чувствительной информации.
На текущий момент точный статус уязвимости и наличие публичных эксплойтов уточняются. Однако, учитывая критичность и простоту потенциальной эксплуатации, администраторам настоятельно рекомендуется принять превентивные меры. Разработчики пока не предоставили официального патча или конкретного способа устранения проблемы. Тем временем, эксперты по кибербезопасности рекомендуют ряд компенсирующих мер для снижения риска.
Прежде всего, следует рассмотреть возможность временного ограничения или полного отключения функции веб-сервера, предоставляющей прямой доступ к каталогу "storage/app/public". Это может предотвратить непосредственный доступ к загруженным вредоносным файлам. Кроме того, эффективным решением может стать использование систем обнаружения и предотвращения вторжений (IDS/IPS). Эти системы способны отслеживать сетевой трафик на предмет известных сигнатур атак и попыток загрузки подозрительных файлов.
Дополнительным слоем защиты является развертывание антивирусного программного обеспечения на сервере. Оно может помочь в обнаружении и блокировке известных вредоносных скриптов уже после их попадания в систему. Также рекомендуется практиковать работу с файлами из недоверенных источников в изолированной, замкнутой программной среде. Это минимизирует потенциальный ущерб в случае успешной компрометации.
Сообществу пользователей и администраторов следует внимательно следить за обновлениями от разработчиков Livewire Filemanager на официальном ресурсе в GitHub. Как только станет доступна исправленная версия выше 1.0.4, необходимо как можно скорее выполнить обновление. До этого момента критически важно реализовать предложенные компенсирующие меры и усилить мониторинг активности на затронутых системах. Регулярный аудит логов веб-сервера и файловой системы на предмет несанкционированных операций загрузки может помочь в раннем обнаружении инцидента.
Эта ситуация в очередной раз подчеркивает важность принципа минимальных привилегий и необходимости валидации всех пользовательских данных на стороне сервера. Даже такие распространенные и, казалось бы, простые функции, как загрузка файлов, при некорректной реализации становятся удобными векторами для серьезных атак. Следовательно, организациям стоит регулярно проводить оценку безопасности всех компонентов своего веб-стэка, включая сторонние библиотеки и модули.
Ссылки
- https://bdu.fstec.ru/vul/2026-00912
- https://www.cve.org/CVERecord?id=CVE-2025-14894
- https://github.com/livewire-filemanager/filemanager
- https://hackingbydoing.wixsite.com/hackingbydoing/post/unauthenticated-rce-in-livewire-filemanager
- https://www.kb.cert.org/vuls/id/650657
- https://vuldb.com/ru/?id.341564
- https://github.com/advisories/GHSA-9g95-48c6-r778?ysclid=mkxugfi1vx767297069
