أُعلن عن ثغرة أمنية خطيرة في مكوّن Livewire Filemanager، وهو مدير ملفات يُستخدم في مواقع Laravel للسماح برفع الملفات. الثغرة، المُسجّلة تحت الرمز CVE-2025-14894 وبدرجة خطورة 7.5 وفق مقياس CVSS، تتيح للمهاجمين رفع ملفات PHP خبيثة إلى الخادم البعيد وتشغيلها مباشرة.
آلية الاستغلال
وفقاً لتقرير CERT Coordination Center (CERT/CC)، فإن أي ملف PHP يتم رفعه عبر التطبيق يمكن الوصول إليه وتنفيذه من خلال زيارة مجلد الاستضافة المتاح عبر الويب. هذا يعني أن المهاجم يستطيع إنشاء ملف PHP خبيث، رفعه إلى التطبيق، ثم إجبار النظام على تنفيذه، ما يؤدي إلى تنفيذ أوامر عشوائية على الجهاز المستضيف دون الحاجة إلى مصادقة.
خطورة الهجوم على المواقع
الثغرة تمكّن من تنفيذ تعليمات برمجية عن بُعد (RCE)، وهو من أخطر أنواع الهجمات، حيث يمنح المهاجم سيطرة كاملة على الخادم المستهدف. هذا النوع من الثغرات قد يُستخدم لزرع برمجيات خبيثة، سرقة بيانات حساسة، أو حتى السيطرة على البنية التحتية للموقع بالكامل.
الحاجة إلى التحديث والوقاية
حتى الآن، لم يتم إصدار ترقيع رسمي لمعالجة الثغرة، ما يجعل المواقع التي تعتمد على Livewire Filemanager عرضة للاستغلال. ينصح الخبراء باتخاذ إجراءات وقائية مثل:
- تعطيل رفع ملفات PHP أو أي ملفات قابلة للتنفيذ.
- استخدام آليات فلترة صارمة للتحقق من نوع الملفات المرفوعة.
- مراقبة مجلدات الاستضافة بشكل دوري لاكتشاف أي ملفات مشبوهة.
- الاعتماد على جدران حماية تطبيقات الويب (WAF) لتقليل فرص الاستغلال.
