У Livewire v3 (≤ 3.6.3) виявлено вразливість, яка дозволяє неавтентифікованим зловмисникам реалізувати віддалене виконання команд у певних ситуаціях. Проблема виникає через те, як оновлюються деякі властивості компонентів. Ця вразливість характерна лише для Livewire v3 і не впливає на попередні основні версії. Для експлуатації необхідно, аби компонент був підключений і налаштований певним чином, разом із тим автентифікація або взаємодія з користувачем не потрібні.
Як зазначає Securing Laravel, "це доволі підступна вразливість, яка може бути катастрофічно ефективною".
Цю проблему виправлено в Livewire v3.6.4, тому настійно рекомендуємо оновитися до цієї версії якомога швидше.
Щоб оновитися, виконайте команду для отримання останньої версії:
composer update livewire/livewireПотім переконайтеся, що у вас версія 3.6.4 або новіша, використовуючи команду show:
composer show livewire/livewireДосліджуйте новий пакет Data Model для PHP, який спрощує процес гідратації об'єктів без зайвих складнощів! Дізнайтеся, як впровадження типобезпечних об'єктів може революціонізувати ваш підхід до розробки, читаючи нашу статтю
Вперше у світі Laravel з'являється можливість, яка значно спростить ваше повсякденне програмування завдяки новому пакету Laravel Boost. Читайте статтю, щоб дізнатися, як посилена інтеграція штучного інтелекту може підвищити ефективність вашої роботи та оптимізувати створення проектів у Laravel
Зазирніть у світ Laravel, де потужний CLI-фреймворк відкриває нові можливості для розробки командного інтерфейсу. Дізнайтеся, як створити просту утиліту для перевірки акцій, яка працює з Docker, та які переваги це може принести у вашому проєкті!