كشفت شركة الأمن السيبراني Synacktiv عن تفاصيل ثغرة أمنية بالغة الخطورة في إطار العمل Livewire المبني على Laravel، تم تصنيفها تحت الرمز CVE-2025-54068 بدرجة خطورة 9.8 وفقاً لمقياس CVSS. هذه الثغرة، التي جرى إصلاحها في الإصدار 3.6.4 الصادر في يوليو 2025، كانت تسمح للمهاجمين غير الموثقين بتنفيذ أوامر عن بُعد في ظروف معينة، مما يهدد سلامة التطبيقات المبنية على هذا الإطار.
جذور الثغرة وآلية الاستغلال
المشكلة تعود إلى آلية Hydration الخاصة بـ Livewire، والتي تُستخدم لإدارة حالة المكونات وضمان عدم العبث بها أثناء النقل عبر التحقق باستخدام Checksum. إلا أن هذه الآلية تضمنت عملية Unmarshalling خطيرة يمكن استغلالها إذا تمكن المهاجم من الحصول على مفتاح التطبيق (APP_KEY). عبر إنشاء حمولة خبيثة، يستطيع المهاجم التلاعب بعملية Hydration لتنفيذ تعليمات برمجية عشوائية، بدءاً من استدعاء وظائف بسيطة وصولاً إلى تنفيذ أوامر خفية عن بُعد.
ثغرة أخطر بلا حاجة إلى APP_KEY
الأبحاث لم تتوقف عند هذا الحد، إذ تم الكشف أيضاً عن ثغرة أخرى تسمح بتنفيذ أوامر عن بُعد حتى دون معرفة مفتاح التطبيق. هذه الثغرة تستغل حقلاً يُعرف باسم updates في طلبات Livewire، حيث يمكن للمهاجمين حقن Synthesizers خبيثة مستفيدين من طبيعة PHP في التعامل مع الأنواع بشكل فضفاض ومعالجة المصفوفات المتداخلة. هذا الأسلوب يتجاوز آلية التحقق بالـ Checksum، مما يتيح إنشاء كائنات عشوائية تؤدي إلى اختراق كامل للنظام.
تداعيات أمنية
تكشف هذه الثغرات عن خطورة الاعتماد على آليات تحقق غير محصّنة في أطر العمل الشائعة، حيث يمكن أن تتحول إلى بوابة لتنفيذ هجمات واسعة النطاق. بالنسبة للمؤسسات التي تعتمد على Livewire في تطبيقاتها، فإن التحديث إلى الإصدار 3.6.4 يُعد خطوة ضرورية لتفادي الاستغلال، خاصة أن الثغرات تسمح بالتحكم الكامل في النظام المستهدف.
