Livewire Filemanager Vulnerability Exposes Web Applications to RCE Attacks
2026/01/19 CyberSecurityNews — Livewire Filemanager で発見されたのは、Laravel Web アプリケーションで利用されるファイル管理コンポーネントに影響を及ぼす、深刻なセキュリティ脆弱性 CVE-2025-14894 である。この脆弱性は、脆弱性ノート VU#650657 が割り当てられており、未認証の攻撃者に対して脆弱なサーバ上での任意のコード実行を許すものである。
脆弱性 CVE-2025-14894 は、LivewireFilemanagerComponent.php コンポーネントにおける不適切なファイル検証に起因する。それにより Filemanager は、ファイルタイプ/MIME タイプに対する十分な検証を強制できず、Web インターフェイスを通じた悪意の PHP ファイルの直接アップロードが可能になってしまう。最終的に、標準的な Laravel セットアップ・プロセスにおいて php artisan storage:link コマンドが実行されている場合に、 アップロードされたファイルが公開されている “/storage/” ディレクトリ経由で実行可能となる。
| CVE ID | Tracking ID | Publication Date | Severity |
|---|---|---|---|
| CVE-2025-14894 | VU#650657 | January 16, 2026 | High |
このベンダーのセキュリティ・ドキュメントでは、ファイルタイプ検証が意図的にスコープ・アウトされており、その検証責任は導入開発者側に委ねられている。ただし、このツールのアーキテクチャ自体が、追加の保護措置なしにアップロードされたファイルを直接実行可能な形で公開している点に、より深刻な問題がある。
悪用に成功した攻撃者は、Web サーバ・ユーザーの権限でリモート・コード実行 (RCE) を獲得する。 その結果として、Web サーバプロセスがアクセス可能なすべてのファイルに対する、無制限の読み取り/書き込みを含む、包括的なシステム侵害が可能となる。
さらに攻撃者は、横展開を行い、接続されたシステム/インフラを侵害できる。 この攻撃は認証を必要とせず、Livewire Filemanager のアップロード・インターフェイスを通じて PHP Web シェルをアプリケーションにアップロードし、その後に /storage/ URL 経由で当該ファイルにアクセスするだけで、リモートからの実行が可能になる。
影響を受けるプラットフォームと状況
今回の情報が公開された時点において、ベンダーである Bee Interactive は脆弱性 CVE-2025-14894 を認識していない。CERT/CC が推奨するのは、”php artisan storage:link” の実行について確認し、実行されている場合には Web 配信機能を削除するなどの、即時の防御措置を講じることだ。
| Entity | Status |
|---|---|
| Bee Interactive | Unknown |
| Laravel | Unknown |
| Laravel Swiss | Unknown |
Livewire Filemanager を使用している組織は、Livewire の機能とは独立して、アプリケーション・レベルでのファイル・アップロード制限を直ちに実装すべきである。具体的には、安全なファイル・タイプのみに限定するための、厳格な許可リストに基づくポリシーの導入/包括的な MIME タイプ検証の適用などが必要になる。
また、アップロードされたファイルは、Web アクセス可能なディレクトリ外に保存すべきであり、運用上 Web 配信が不要な場合には、公開ストレージ・リンクを無効化することが求められる。
Laravel (PHPフレームワーク) アプリで広く利用されるファイル管理コンポーネント Livewire Filemanager に、サーバ乗っ取りに至る可能性のある、深刻な脆弱性が見つかりました。この脆弱性の原因は、アップロードされるファイルの種類をチェックする機能が不十分であることに加え、誰もがアクセスできる公開ストレージで、保存されたファイルを自動的に公開してしまう設計にあります。
さらに、本来であれば、画像や文書だけを受け取るべきところ、この脆弱性 CVE-2025-14894 を悪用する攻撃者は、悪意のある PHP プログラム (Webシェル) を直接アップロードできてしまいます。その上で、Laravel の標準的なコマンドで作成される公開リンクを通じて、そのファイルを実行することで、リモートからサーバを自由に操作できるようになります。現時点で開発元は、この問題を公式に認識していないため、利用者にとって必要なことは、許可した形式以外のファイルを拒否する設定の導入や、公開ディレクトリへのリンクの無効化といった自衛策を急いで実施することです。よろしければ、Laravel での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.