Resumo: O CVE-2025-54068 é uma vulnerabilidade de execução remota de código (CVSS 9.2) no Laravel Livewire v3 que permite a atacantes não autenticados executar comandos em servidores. Uma campanha ativa documentada em junho de 2026 comprometeu mais de 6.000 aplicações em todo o mundo, roubando credenciais de sessão, tokens de API e dados de configuração. A correção existe desde julho de 2025 (v3.6.4), mas milhares de sistemas permanecem desatualizados.
O que é o CVE-2025-54068
Uma vulnerabilidade crítica no Laravel Livewire, registrada como CVE-2025-54068, permite execução remota de comandos sem autenticação em aplicações que usam a versão 3 do framework. Com CVSS 9.2 e exploração confirmada pela CISA desde março de 2026, a falha foi usada em uma campanha massiva de roubo de credenciais que comprometeu mais de 6.000 aplicações em todo o mundo, segundo a Cyber Press.
O advisory oficial do GitHub Security descreve o problema como uma injeção de código durante o processo de “property update hydration” — o mecanismo que o Livewire usa para sincronizar propriedades de componentes entre o frontend e o backend.
Como funciona o ataque
O Livewire v3 é um framework full-stack para Laravel que permite construir interfaces dinâmicas sem escrever JavaScript. Quando um usuário interage com um componente Livewire, o framework serializa as propriedades do frontend, envia para o servidor, desserializa (processo chamado de “hydration”) e atualiza o componente.
A vulnerabilidade está exatamente nesse passo de desserialização. Componentes configurados de uma forma específica permitem que um atacante manipule os dados enviados na requisição para injetar código arbitrário. O resultado é RCE sem autenticação e sem interação do usuário — o atacante só precisa conhecer a estrutura do componente vulnerável.
A equipe do Livewire classificou o ataque como “High” em complexidade, o que significa que nem todo componente é vulnerável por padrão. Mas quando a configuração errada está presente, a exploração é direta. Não existem workarounds conhecidos — a única solução é atualizar.
Escopo da campanha
A gravidade dessa falha transcende o CVE em si. O EPSS (Exploit Prediction Scoring System) registra 0.9203 para o CVE-2025-54068, colocando-o no percentil 99.8 entre todas as vulnerabilidades rastreadas — praticamente a maior pontuação possível de probabilidade de exploração, segundo o banco de dados CIRCL.
A campanha documentada pela Cyber Press e pela ThreatHunter.ai mostra que um ator de ameaças vinculado ao Irã explorou a falha de forma sistemática. O atacante varreu a internet em busca de aplicações Laravel com componentes Livewire vulneráveis, executou código remoto e extraiu credenciais armazenadas — sessões de usuário, tokens de API, chaves de criptografia e dados de configuração de banco de dados.
O número de mais de 6.000 aplicações comprometidas reflete o tamanho da superfície de ataque: o Laravel é o framework PHP mais utilizado no mundo, com milhões de instalações ativas. No Brasil, a presença é massiva em startups, agências de desenvolvimento e sistemas corporativos.
Cronologia da correção
| Data | Evento |
|---|---|
| 17 de julho de 2025 | Advisory publicado no GitHub Security (GHSA-29cq-5w36-x7w3) |
| Julho de 2025 | Livewire v3.6.4 lançado com correção |
| 20 de março de 2026 | CISA adiciona à KEV (Known Exploited Vulnerabilities) com prazo de correção até 3 de abril |
| 1º de junho de 2026 | KEVIntel confirma exploração ativa independente |
| Junho de 2026 | Campanha de roubo de credenciais documentada com 6.000+ apps comprometidas |
A CISA incluiu a vulnerabilidade no catálogo KEV e fixou o prazo de 3 de abril de 2026 para que agências federais americanas aplicassem a correção. Organizações do setor privado que operam aplicações Livewire v3 desatualizadas estão, na prática, na mesma condição.
Risco para empresas brasileiras
O Brasil é um dos maiores mercados de Laravel do mundo. Empresas de e-commerce, fintechs, plataformas SaaS e sistemas de gestão utilizam o framework extensivamente. Quando o Livewire entra na equação, o risco se multiplica: o componente precisa estar acessível pela web para funcionar, o que elimina barreiras de rede.
Um atacante que explora o CVE-2025-54068 ganha execução de código no servidor da aplicação. A partir daí, o caminho é direto para exfiltração de dados sensíveis, movimento lateral para outros sistemas na rede e implantação de ransomware. O fato de a campanha documentada ter focado especificamente no roubo de credenciais indica que grupos avançados estão usando essa falha como porta de entrada para comprometimentos em cadeia.
A conexão com o ator iraniano, identificada pela ThreatHunter.ai como referência na CVE, sugere que a campanha tem motivação de espionagem cibernética — não apenas roubo financeiro. Alvos no Brasil podem incluir setores como energia, mineração, saúde e governo, que são tradicionalmente prioritários para atores patrocinados por Estados-nação. Esse padrão de campanhas direcionadas a desenvolvedores já foi visto antes no caso GlassWorm, que comprometeu cadeias de suprimento de software.
O que fazer agora
- Atualizar o Livewire para v3.6.4 ou superior imediatamente. Não existem workarounds — a atualização é obrigatória.
- Auditar componentes Livewire que utilizam propriedades complexas na hydration. Componentes com
#[Rule],#[Locked]ou que manipulam arrays/objetos nas propriedades são os mais suscetíveis. - Rotacionar credenciais se a aplicação rodou com Livewire v3.6.3 ou anterior após julho de 2025. Tokens, chaves de API e senhas de banco devem ser considerados comprometidos.
- Revisar logs de acesso ao endpoint
/livewire/message. Requisições com payloads atípicos ou alto volume são indicativos de varredura automatizada. - Implementar WAF com regras específicas para detectar payloads de desserialização maliciosa nos endpoints do Livewire.
Lições do caso
O CVE-2025-54068 ilustra um padrão que se repete: uma vulnerabilidade divulgada em julho de 2025 com correção disponível continua sendo explorada em massa nove meses depois. A maioria das 6.000 aplicações comprometidas não aplicou o patch. A razão é quase sempre a mesma: equipes de desenvolvimento atualizam frameworks principais como o Laravel, mas esquecem que dependências como o Livewire precisam de atenção independente. Como já discutido em análises de vulnerabilidades em aplicações web, componentes de frontend que interagem diretamente com o backend expandem a superfície de ataque de forma silenciosa.
O EPSS de 0.92 deveria ter sido o sinal de alerta definitivo. Quando uma vulnerabilidade está no percentil 99.8 de probabilidade de exploração, adiar a correção é uma decisão consciente de aceitar risco. Para empresas brasileiras que processam dados regulados — LGPD, PCI-DSS, resoluções do Bacen — esse risco pode se traduzir em multas e responsabilidade civil.
Referências
- Livewire remote command execution during property update hydration (GHSA-29cq-5w36-x7w3) — GitHub Security Advisory
- CVE-2025-54068 — Livewire vulnerable to remote command execution — CIRCL CVE Database
- Laravel Livewire Code Injection Vulnerability — CISA Known Exploited Vulnerabilities (KEV)
- Critical Laravel Livewire RCE Flaw Exploited to Steal Credentials From 6,000+ Apps — Cyber Press
- Iranian Threat Actor Campaign Exploiting Livewire CVE-2025-54068 — ThreatHunter.ai