CISA agregó CVE-2025-54068 al catálogo KEV tras reportes de explotación activa. La falla afecta a Laravel Livewire v3 hasta 3.6.3 y permite ejecución remota de comandos sin autenticación en escenarios específicos. Para equipos DevOps y de plataforma, el foco pasa por inventariar dependencias PHP expuestas, acelerar upgrades a 3.6.4+ y reforzar controles de detección sobre rutas y payloads de hidratación de componentes.
Introducción
El 20 de marzo de 2026, CISA incorporó CVE-2025-54068 al catálogo de vulnerabilidades explotadas activamente (KEV). El issue impacta a Livewire v3, un componente muy usado en stacks Laravel para construir interfaces reactivas sin SPA completa.
La señal de KEV cambia la prioridad operativa: deja de ser una “actualización recomendada” y pasa a ser una corrección urgente para cualquier entorno con paneles internos, portales de negocio o APIs administrativas montadas sobre Livewire vulnerable. En contextos con exposición pública o segmentación débil, el riesgo real es compromiso de aplicación y pivote hacia infraestructura.
Qué ocurrió
El advisory GHSA-29cq-5w36-x7w3 describe una vulnerabilidad de code injection que, bajo determinadas condiciones de montaje/configuración de componentes, habilita ejecución remota de comandos sin autenticación en Livewire v3 ≤ 3.6.3.
NVD reflejó el caso como CWE-94 y enlazó tanto el parche como la release correctiva v3.6.4. El commit de corrección introduce validaciones adicionales en la hidratación de actualizaciones de propiedades y en el tratamiento de valores sintéticos/removidos, una zona sensible del ciclo de vida de componentes rehidratados desde inputs del cliente.
Impacto para DevOps / Infraestructura / Cloud / Seguridad
Para DevOps e Infra, el impacto no es solo de aplicación: afecta gestión de riesgo en pipelines, inventario SBOM y tiempos de parcheo en plataformas PHP multi-tenant. Si el framework se despliega en contenedores con privilegios excesivos o acceso amplio a secretos, una RCE en la capa web puede escalar rápidamente a filtración de credenciales, movimiento lateral y alteración de workloads.
En cloud, también puede implicar abuso de identidades asociadas al runtime (IAM roles, service accounts, tokens internos), especialmente cuando hay secretos inyectados por variables de entorno o sidecars sin aislamiento estricto.
En SRE, el punto clave es que la explotación puede confundirse con tráfico normal de app reactiva si no hay telemetría a nivel de rutas, parámetros de actualización de propiedades y comportamiento de procesos hijos en el runtime PHP-FPM/Octane.
Detalles técnicos
Técnicamente, el problema se concentra en cómo Livewire procesa (“hidrata”) updates de propiedades de componentes enviados por el cliente. El fix en v3.6.4 agrega una ruta específica de hidratación para actualizaciones, incluyendo lógica para no hidratar marcadores de remoción anidados y para controlar mejor la resolución de estructuras sintéticas antes de aplicar cambios.
Aunque el advisory no publica PoC completo por ventana de divulgación responsable, la combinación de KEV + patch puntual + ausencia de workaround sugiere una superficie de ataque concreta y explotable en escenarios reales.
Puntos de observación recomendados a nivel técnico:
– endpoints Livewire expuestos y ratio de requests anómalas por componente;
– cambios inesperados en payloads de actualización de propiedades;
– ejecuciones de comandos/procesos no habituales desde workers web;
– desviaciones de latencia/errores 5xx en rutas de interacción Livewire tras intentos repetidos.
Qué deberían hacer los administradores o equipos técnicos
1) Identificar inmediatamente aplicaciones con Livewire v3 en producción, staging y entornos olvidados (legacy).
2) Priorizar upgrade a v3.6.4 o superior en la próxima ventana corta; si es posible, hotfix de emergencia.
3) Reforzar protección perimetral sobre endpoints de app (WAF/limitación de tasa/firmas de payload malicioso).
4) Revisar permisos del runtime PHP y del contenedor: principio de mínimo privilegio, filesystem read-only cuando aplique, bloqueo de utilidades innecesarias.
5) Rotar secretos con exposición potencial (tokens API, credenciales DB, claves internas) en sistemas vulnerables que hayan estado expuestos.
6) Activar hunting retroactivo en logs de aplicación, reverse proxy y EDR para detectar patrones de explotación previos al parcheo.
7) Incorporar control en CI/CD para fallar builds si SBOM detecta Livewire < 3.6.4 en ramas de release.
Conclusión
La entrada de CVE-2025-54068 al KEV convierte este caso en una prioridad operativa para equipos que administran plataformas Laravel. La actualización a Livewire 3.6.4+ no debería tratarse como maintenance rutinario: es una medida de contención frente a explotación activa.
El aprendizaje para equipos de plataforma es claro: acelerar cierre entre advisory, inventario de dependencias y despliegue, y complementar parcheo con telemetría de comportamiento para detectar intentos de abuso durante la ventana de exposición.
Fuentes
- https://github.com/livewire/livewire/security/advisories/GHSA-29cq-5w36-x7w3
- https://nvd.nist.gov/vuln/detail/CVE-2025-54068
- https://github.com/livewire/livewire/commit/ef04be759da41b14d2d129e670533180a44987dc