У Livewire v3 (≤ 3.6.3) виявлено вразливість, яка дозволяє неавтентифікованим зловмисникам реалізувати віддалене виконання команд у певних ситуаціях. Проблема виникає через те, як оновлюються деякі властивості компонентів. Ця вразливість характерна лише для Livewire v3 і не впливає на попередні основні версії. Для експлуатації необхідно, аби компонент був підключений і налаштований певним чином, разом із тим автентифікація або взаємодія з користувачем не потрібні.
Як зазначає Securing Laravel, "це доволі підступна вразливість, яка може бути катастрофічно ефективною".
Цю проблему виправлено в Livewire v3.6.4, тому настійно рекомендуємо оновитися до цієї версії якомога швидше.
Щоб оновитися, виконайте команду для отримання останньої версії:
composer update livewire/livewireПотім переконайтеся, що у вас версія 3.6.4 або новіша, використовуючи команду show:
composer show livewire/livewire