文章总结： CVE-2025-54068是Livewirev3组件hydration逻辑缺陷导致的无验证远程代码执行漏洞，影响3.0.0-beta.1至3.6.3之前版本；攻击者若获知LaravelAPP_KEY可轻松触发，官方已发布修复，建议立即升级并轮换密钥。 综合评分： 82 文章分类： 漏洞预警,WEB安全,漏洞POC,漏洞分析,应急响应

CVE-2025-54068｜Livewire组件远程代码执行漏洞（POC）

alicy

信安百科

2026年1月11日 11:32 河北

0x00 前言

Livewire是由Laravel框架创始人Taylor Otwell支持的开源项目，它通过在Laravel中实现全栈开发，解决了传统Laravel Blade模板的局限性，成为 Laravel 开发者的新宠。

其核心优势在于允许开发者用PHP编写前端逻辑，简化了开发流程，模糊了前后端界限。Livewire的实时交互能力体现在表单验证、数据表格实时更新和图表动态展示等方面。

通过Composer安装后，开发者可轻松创建Livewire组件，实现无需 JavaScript的动态功能。此外，Livewire与轻量级前端框架AlpineJS集成，保持代码简洁。

0x01 漏洞描述

该漏洞允许未经身份验证的攻击者在特定场景下实现远程命令执行。漏洞的根本原因在于某些组件属性更新的处理方式（hydration）存在问题。

此漏洞仅影响Livewire v3，不影响之前的主要版本。利用该漏洞需要组件以特定方式挂载和配置，但不需要身份验证或用户交互。

如果攻击者知道Laravel应用的APP_KEY，则利用过程会更加简单。

0x02 CVE编号

CVE-2025-54068

0x03 影响版本

Livewire&nbsp;>=&nbsp;3.0.0-beta.1Livewire&nbsp;<&nbsp;3.6.3

0x04 漏洞详情

POC：

https://github.com/synacktiv/Livepyre

0x05 参考链接

https://github.com/advisories/GHSA-29cq-5w36-x7w3

https://github.com/synacktiv/Livepyre

推荐阅读：

CVE-2025-68645｜Zimbra本地文件包含漏洞（POC）

CVE-2025-52691｜SmarterMail 未授权文件上传漏洞（POC）

CVE-2025-55182｜React/Next.js远程代码执行漏洞（POC）

Ps：国内外安全热点分享，欢迎大家分享、转载，请保证文章的完整性。文章中出现敏感信息和侵权内容，请联系作者删除信息。信息安全任重道远，感谢您的支持！！！

本公众号的文章及工具仅提供学习参考，由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害，均由使用者本人负责,本公众号及文章作者不为此承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信安百科 alicy《CVE-2025-54068｜Livewire组件远程代码执行漏洞（POC）》