文章总结： Laravel组件LivewireFilemanager存在高危漏洞CVE-2025-14894，因缺乏文件类型验证，未认证攻击者可上传恶意PHP文件并执行代码，导致服务器完全沦陷。建议开发者立即在应用层实施白名单及MIME验证，禁用不必要的公开存储链接，并将上传目录置于Web根目录之外以加强防护。 综合评分： 78 文章分类： 漏洞预警,漏洞分析,WEB安全

Livewire Filemanager 漏洞导致web 应用易受RCE攻击

Abinaya Abinaya

代码卫士

2026年1月20日 18:11 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

一款广泛应用于Laravel web应用的嵌入式文件管理组件 Livewire Filemanager 中存在一个高危漏洞CVE-2025-14894，可导致未经身份验证的攻击者在易受攻击的服务器上执行任意代码。

对 LivewireFilemanagerComponent.php 组件中的文件验证不当导致该漏洞。该工具未能执行正确的文件类型和MIME验证，导致攻击者直接通过 web 接口上传恶意 PHP 文件。一旦上传成功，只要在标准的 Laravel 设置流程中执行php artisan storage:link 命令，就可通过公开可访问的 /storage/ 目录被执行。

值得注意的是，供应商故意未将文件类型验证纳入安全文档，将验证责任推给开发人员。然而，由于该严重漏洞位于该工具的架构中，因此无需其它防护措施，即导致上传文件被执行。成功利用该漏洞可导致攻击者以 web 服务器用户的权限执行远程代码，从而导致系统遭完全攻陷，如对 web 服务器进程可访问的所有文件拥有不受限的文件读写权限。攻击者之后可跳转到受陷的联网系统和基础设施。

执行攻击无需身份验证，只需通过 Livewire Filemanager 的上传接口将 PHP webshell 上传到应用，之后通过存储URL访问文件，即可触发攻击执行。

受影响平台和状况

在该漏洞被披露时，Bee Interactive、Laravel和 Laravel Swiss厂商并未证实该漏洞的存在。CERT/CC 建议立即采取防护措施，如验证 php artisan storage:link 是否已被执行；如确认，则删除 web 服务能力。

使用 Livewire Filemanager的组织机构应当立即在应用程序层执行文件上传限制机制（独立于Livewire功能）；执行严格的白名单策略，仅限上传安全的文件类型并应用全面的 MIME 类型验证。将上传的文件存储在 web 可访问目录之外。如果操作无需使用 web 服务，则关闭公开存储链接。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

OpenSSH 严重漏洞可导致 Moxa 以太网交换机易受RCE攻击

趋势科技：速修复这个严重的 Apex Central RCE漏洞

Veeam 修复备份服务器中的RCE漏洞

AdonisJS 9.2 框架存在严重漏洞，可导致任意文件写入和RCE

CISA 将已遭利用的 Digiever NVR RCE漏洞纳入KEV

原文链接

Livewire Filemanager Vulnerability Exposes Web Applications to RCE Attacks

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Abinaya Abinaya《Livewire Filemanager 漏洞导致web 应用易受RCE攻击》