Acceso completo al servidor con un solo clic: vulnerabilidad en Livewire Filemanager pone en riesgo a miles de proyectos
Descubren forma de eludir la autorización en un popular gestor de archivos para un framework PHP
En una herramienta popular para Laravel se detectó de forma inesperada una vulnerabilidad que, en la práctica, convierte al cargador de archivos en un mecanismo de ejecución remota de código arbitrario. Se trata de Livewire Filemanager. El error permite a un atacante sin autenticación subir al servidor un archivo PHP malicioso y ejecutarlo de inmediato desde un navegador cualquiera.
La vulnerabilidad recibió el identificador CVE-2025-14894 (puntuación CVSS: 7.5) y afecta al componente LivewireFilemanagerComponent.php. El problema es que el módulo no verifica el tipo ni el MIME de los archivos subidos. Formalmente, los desarrolladores de Livewire Filemanager consideraban inicialmente la filtración de extensiones como responsabilidad del propio usuario; sin embargo, es precisamente la combinación de la falta de comprobación y la configuración predeterminada de Laravel lo que hace que el ataque sea extremadamente sencillo.
En muchos proyectos en Laravel se usa el comando "php artisan storage:link", que crea un enlace público al directorio storage/app/public para servir los archivos subidos a través de la web. En condiciones normales esto es cómodo y seguro si el cargador restringe correctamente los formatos. Pero Livewire Filemanager permite enviar al servidor cualquier archivo PHP. Tras ello, queda accesible en la URL bajo /storage y puede ejecutarse como un script.
Al atacante le basta con subir el archivo preparado y acceder a él desde el navegador, pasando el identificador de usuario en la petición. Como resultado, el código se ejecuta en el servidor con los privilegios del usuario web sin ninguna autenticación. Esto abre acceso completo a los archivos, la posibilidad de instalar puertas traseras y de moverse posteriormente por la infraestructura.
Según la evaluación de CERT/CC, las consecuencias son críticas. La vulnerabilidad permite la ejecución remota de código y el control total dentro de los permisos del servidor web. Con ese acceso, los atacantes pueden afianzarse en el sistema, extraer datos confidenciales o usar el servidor como punto de lanzamiento para atacar nodos vecinos.
Por el momento los desarrolladores de Livewire Filemanager no han confirmado oficialmente el problema ni han publicado una corrección. Los especialistas recomiendan a los administradores de proyectos Laravel comprobar con urgencia si Livewire Filemanager se está usando junto con el almacenamiento público. Si ya se ejecutó el comando que crea el enlace simbólico, es preferible desactivar temporalmente el acceso web al directorio de archivos subidos o eliminar por completo Filemanager hasta que aparezca una corrección.